在 Windows 操作系统中更新 PC 上的根证书

1月

2023

безопасность, windows

13 1月 2023 16:43

在 Windows 7 - Windows 10 上，您需要不时更新根证书颁发机构。

注意事项

根证书是证书颁发机构、认证机构以及最终网站的其他中间证书的支撑支柱。没有它们，信任链就不起作用，https 加密也不起作用。由于需要确保安全，根证书只能从可信来源获取（您无法从Yandex Drive、第三方网站等下载任何证书文件）。

1.从Windows Update网站获取根证书

有一个用于下载根证书的实用程序 certutil.exe，需要用钥匙启动 -从WU生成SST 以及输出文件的名称，例如： c:\certs\roots.sst

certutil.exe -generateSSTFromWU c:\certs\roots.sst

其中 certs 是要创建的目录。

所有命令键的描述可以在 spisok.txt 文件中读取：
spisok-win1251.txt
spisok-linux.txt

certutil.exe 程序密钥说明：

-generateSSTFromWU-- 在 Windows 更新中创建 SST

这里的SST是SST文件类型中当前受信任的根证书颁发机构。

来源：更新 Windows 10 中的受信任根证书

执行命令 certutil.exe -generateSSTFromWU c:\certs\roots.sst 需要 3-4 分钟：
证书1

2.导出根证书到p7b文件

生成的 SST 文件可以通过双击打开。
证书2
其中您可以按有效期对证书进行排序，选择有效的证书并右键单击“导出”。

2.1 启动证书导出向导：
证书3

2.2 选择输出文件类型。我终止了 p7b - 一种传输容器，其中所有证书都位于一个文件中（所谓的捆绑包）。

证书4

2.3 选择导出的输出目录和扩展名为p7b的文件名

证书5

2.4 继续向导 - “下一步”按钮
证书6

2.5 关于导出成功完成的消息：“导出成功完成。"

证书8

3.将p7b文件中的根证书导入到系统中

3.1 在资源管理器中，右键单击生成的 p7b 文件 - “导入"

证书9

放大的屏幕片段：
安装证书

3.2 启动证书导入向导
证书10
下一页

3.3 我们进一步同意自动选择存储。
证书11

3.4 将证书导入系统向导的最后一步：
证书12

3.5 证书导入系统完成的消息：“导入成功”。
证书13

！！！根证书已更新。

！注意：您可以使用证书管理单元并直接导入 SST 文件，而不是使用中间 p7b 文件方法：
！运行 MMC -> 添加管理单元 -> 证书 -> 计算机帐户> 本地计算机。
！右键单击“受信任的根证书颁发机构”，“所有任务”->“导入”，找到 SST 文件
！（在文件类型中选择 Microsoft 序列化证书存储 - *.sst）-> 打开
！ -> 将所有证书放入以下存储中 -> 受信任的根证书颁发机构。

4.下载并安装俄罗斯联邦数字发展、通信和大众传媒部的根证书）

4.1 从网站下载证书

https://gosuslugi.ru/tls

4.2同样的方式安装——右键——安装。
可以肯定的是，您可以选择导入位置 - “受信任的根中心”部分。

5.其他证明来源——财政部网站

联邦财政部网站：

根证书

6.以CAB文件形式获取有效和吊销证书的方法

有效根证书列表 -http://ctldl.windowsupdate.com/ ...authrootstl.cab
已撤销的根证书列表 -http://ctldl.windowsupdate.com/ ... disallowedcertstl.cab

使用 7ZIP 归档程序 (7zip.org) 将文件解压到 C:\PS 文件夹中

安装：

*活跃的根中心- 从文件导入 authroot.stl

certutil -enterprise -f -v -AddStore "Root"   "C:\PS\authroot.stl"

*撤销的根中心- 从文件导入 disallowedcert.stl

certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"

关于无线电和 Linux 的博客