Скрипт для сертификатов windows xp

Root Certificate Updates For Legacy Windows (Vista, XP, 2000)

Older versions of Windows no longer update their Trusted Root Certification Authorities, resulting in HTTPS connection errors in browsers and applications. This project allows a user to manually update the root and intermediate certificates to the current versions used in modern Windows to fix these errors. The certificates for Let’s Encrypt are also included.

Downloading the Certificates

Head to this project’s Releases and download WindowsRoot.sst and WindowsIntermediate.sst from the most current release. Save them to your Desktop or Downloads directory for use in the next step.

Installing the Certificates

1. Open your Control Panel in Windows. This is within the Start Menu on Windows XP and Vista. It’s within the Start Menu’s settings section on Windows 2000.
2. Open Internet Options. If you have the newer friendly style Control Panel enabled, click Network and Internet and then Internet Options.
3. Open the Certificates window by selecting the Content tab and then clicking the Certificates button.
4. Select the Trusted Root Certification Authorities tab. You may have to use the left and right arrow buttons to see all tabs.
5. Click Import, click the Next button, click Browse and browse to the directory you saved your certificates to.
6. Change the file filter in the lower right of the window from X.509 or similar to Microsoft Serialized Certificate Store and then select the WindowsRoot.sst file and click OK.
7. Click Next, then Next, then Finish.
8. Click OK to each warning for each certificate and then OK again once the import was successful.
9. Select the Intermediate Certification Authorities tab in the Certificates window
10. Click Import, click the Next button, click Browse and browse to the directory you saved your certificates to.
11. Change the file filter in the lower right of the window from X.509 or similar to Microsoft Serialized Certificate Store and then select the WindowsIntermediate.sst file and click OK.
12. Click Next, then Next, then Finish.
13. Reboot your system just to be safe.
    You should now have access to all the standard certificates needed for most apps.

Проблема корневых сертификатов стала актуальна для Windows XP, 2003 Server, 7, 2008 Server после окончания их поддержки. И если с отсутствием свежих обновлений можно смириться, то из-за не обновлённого хранилища сертификатов перестают нормально отображаться сайты и перестают работать онлайн инсталляторы.

Вариант 1:

Update and Revoked Roots. Инструмент для обновления корневых сертификатов. UpdRoots загружает сертификаты с сервера Microsoft и выводит реальную дату изменения загруженных файлов, тем самым можно определить, насколько свежий тот или иной сертификат.
Для обновления офлайн, разместите рядом с UpdRoots все пять групп сертификатов/файлов SST, при наличии доступа в интернет, офлайн обновление не работает.
Для тихого обновления предусмотрен ключ командной строки /S.

Скачать UpdRoots.zip

Вариант 2: 

Скачивание и обновление корневых сертификатов:

Ключи установки:

CertUpdater.exe -aie -gm2 -fm0 — скачивание корневых сертификатов из Windows Update в папку MyRoots, создаётся автоматически рядом с CertUpdater.exe.
CertUpdater.exe -aii -gm2 -fm0 — импорт корневых сертификатов из папки MyRoots в систему.
CertUpdater.exe -aim -gm2 -fm0 — вызов системного менеджера сертификатов.
CertUpdater.exe -air -gm2 -fm0 — импорт корневых сертификатов из пакета корневых сертификатов CertUpdater в систему.
CertUpdater.exe -aiu -gm2 -fm0 — обновление пакета корневых сертификатов CertUpdater.
CertUpdater.exe -h — вызов справки.

Скачать CertUpdater.zip

Вариант 3: Обновление корневых сертификатов выполняет UpdatePack7R2 для обновления Windows 7 SP1 и Server 2008 R2 SP1 от simplix-а: http://forum.oszone.net/thread-257198.html

Скачать UpdatePack7R2+.zip

Вариант 4: Обновление корневых сертификатов выполняет набор обновлений «DrWindows» для Windows 7

Описание и обсуждение на русском языке: http://forum.oszone.net/thread-351049.html

Текст автора набора обновлений: https://www.drwindows.de/xf/threads/windows-7-update-pack-by-drwindows-september-2022.15232/

Скачать Windows 7 Update-Pack by DrWindows September 2022 — 64 Bit

Вариант 5: Обновление корневых сертификатов при помощи RootCertUpdater 

Данный обновлятор представляет собой 7z SFX архив со следующим конфигом:

;!@Install@!UTF-8!
Title=»Обновлятор корневых сертификатов»
BeginPrompt=»Обновить хранилище сертификатов?»
RunProgram=»updroots \»%%T\\authroots.sst\»»
RunProgram=»updroots \»%%T\\updroots.sst\»»
RunProgram=»updroots -l \»%%T\\roots.sst\»»
RunProgram=»updroots -d \»%%T\\delroots.sst\»»
RunProgram=»updroots -l -u \»%%T\\disallowedcert.sst\»»
GUIFlags=»2+4+8+16+32+2048″
MiscFlags=»4″
GUIMode=»1″
FinishMessage=»Обновление выполнено!»
;!@InstallEnd@!

и содержит актуальные на дату публикации файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst

Вы можете самостоятельно обновлять обновлятор) открыв его в архиваторе 7-Zip и перетянув в него более свежие sst-файлы:

http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst

Скачать RootCertUpdater.zip 

Вариант 6: RootsUpdSetup для Windows XP

Сделано сразу в виде SVCPACK-аддона для Windows XP, упаковано в WinRAR SFX. Никаких ключей установки не требуется, всё максимально просто: есть интернет: *.sst-файлы обновляются и устанавливаются; нет интернета — ставится то, что есть в архиве.

RootsUpdSetup_win_xp.exe

Вариант 7: Обновление корневых сертификатов при помощи UpdRootsCert
Принцип работы: если есть интернет — то скачиваются и устанавливаются последние сертификаты,
если нет — то установятся сертификаты из набора. 

Скачать UpdRootsCert.zip 

По работе приходится иногда иметь дело с этой операционкой, и если дело доходит до переустановки системы, то случается такая беда:

• ошибки при подключении к любым https веб ресурсам
• ошибки при работе приложений использующих https как транспорт

По хорошему, такие беды должны лечиться обновлениями системы, но обновления тоже получаются по https, таким образом — замкнутый круг.

Решение такое: перенести базу сертификатов из другой ОС (Windows 7 или 10). Но есть ньюанс — ОС должны быть лицензионной и с подключенным сервисом Windows Update, иначе фокус не получится.

Первым делом, на обновленной системе (Windows 7 или 10) нужно ввести в консоли вот такое заклинание:

certutil.exe -generateSSTFromWU roots.sst

В текущей директории получите файл с сертификатами roots.sst. Его нужно поместить в папку C:\PS\rootsupd\ на Windows XP.

Далее потребуется утилита rootsupd.exe. Раньше ее можно было загрузить с сайта мелкософт, но сейчас его там нет, видимо выпилили вместе с поддержкой XP. В данный момент, можно скачать его с сайта kaspersky.com: http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip
Если ссылка протухнет вот резервный вариант: https://pustovoi.ru/files/rootsupd.zip

Данную тулзу следует запустить с такими параметрами:

rootsupd.exe /c /t:C:\PS\rootsupd

Обратите внимание, что между /t и путем к каталогу нет пробела! Если команда отработала без ошибок, в каталоге C:\PS\rootsupd появится файл updroots.exe. Для установки полученных сертификатов его следует запустить с параметрами:

updroots.exe roots.sst

Все. После этого сертификаты установлены. Правда старые не удалены, но они не мешают, и как их чистить я не разбирался.

Внимание:

Если вы технический специалист, не хотите читать ничего лишнего, а просто желаете получить готовое решение, переходите сразу к этому разделу.

Дисклеймер:

Статья сугубо техническая, несмотря на вольный и слегка художественный стиль повествования в самом начале. В ней приводятся несколько проверенных решений реально существующей проблемы, появившейся незадолго до написания статьи и затронувшей миллионы устройств по всему миру.

Эпиграф:

Инженер не должен все знать. Он должен знать, где найти решение.

Итак, свершилось! В очередной раз где-то на неизвестной горе засвистел герой народных присказок, известный как Рак, в то время как другой герой этих же присказок, даже пребывая в жаренном состоянии, начал клевать ягодицы расслабленных пользователей интернета под обеспокоенным взором крестящихся мужиков, напуганных очередным раскатом грома.

Конец света (по мнению многих обывателей) начался буднично. В красивый и приятный осенний день 1 октября 2021 года, который пришелся на всегда ожидаемую из-за предстоящих выходных и слегка сумбурную из-за начала нового месяца пятницу, многочисленные пользователи довольно-таки старых, но все еще бережно хранимых и даже, пусть со скрипом, но вполне себе работающих устройств, вдруг не смогли зайти на свои любимые сайты.

Вот представьте: хотите вы с утра включить онлайн радио и послушать музыку, а взамен получаете сообщение “Ваше подключение не является приватным”. Или вам по работе позарез нужно зайти на определенный сайт со своей учетной записью, а вместо этого вы видите на экране “Часы спешат. Не удалось установить защищенное соединение с доменом из-за неверных настроек системных часов и календаря”. Вы пытаетесь хотя бы почитать новости, но при попытке открыть сайт по ссылке страница просто не загружается. Как работать в таких условиях? Чем не конец света?

На самом деле причина таких ошибок проста и очевидна: вы используете устаревшую технику и такие же устаревшие технологии. Неважно, почему — у каждого есть свои причины и никто здесь не собирается их оспаривать. Важно, что из-за этого становится недоступной значительная часть информации и невозможной определенная деятельность в сети интернет. Давайте для начала установим причину такого положения дел.

Почему перестали открываться сайты на старых компьютерах и смартфонах?

Начиная с 30 сентября 2021 года миллионы пользователей по всему земному шару больше не могут пользоваться многими интернет-сайтами.  В этот день истек срок действия корневого сертификата IdenTrust DST Root CA X3, и это ломает работу интернета на миллионах устройств по всему миру, которые давно не получали обновления своего программного обеспечения. Наиболее часто ошибка отображается как NET::ERR_CERT_DATE_INVALID.

Сертификат IdenTrust DST Root CA X3 выпущен некоммерческим удостоверяющим центром Let’s Encrypt, который предоставляет на безвозмездной основе криптографические сертификаты для TLS-шифрования. Протокол TLS обеспечивает зашифрованную передачу данных между узлами компьютерной сети. Если сертификат TLS на устройстве просрочен, то соединиться с другим узлом сети оно не может.

Сертификат IdenTrust DST Root CA X3 используется на миллионах устройств по всему миру. Это и Android-смартфоны, и техника Apple, и даже игровые приставки, не говоря о компьютерах под управлением Windows. Одних только устройств со старыми и не обновляемыми версиями Android (в основном, это смартфоны и планшеты) сегодня насчитывается более 213 млн. Подробно об этом писали многие издания, например, C-News.

Что делать, если сайт не открывается на старом компьютере или телефоне?

Решить проблему можно или установкой свежего программного обеспечения (ПО), или покупкой современного устройства. Установить свежее ПО на старую технику не всегда возможно, но зато современные устройства под управлением актуальных операционных систем Windows, iOS, Linux, Android не подвержены описываемой проблеме, так как централизованно обновляются и всегда работают с актуальным списком сертификатов безопасности. Так что обновление техники и программного обеспечения — это наилучший способ даже не знать о существовании такой беды, как невозможность открыть некоторый сайт в браузере из-за проблем с сертификатом безопасности. К тому же, обновление всегда дает значительные преимущества в плане скорости и комфорта работы. Но, к сожалению, обновление техники по совершенно разным причинам доступно  далеко не каждому.

Конечно, надо понимать, что переход на новую технику и на новые версии ПО — это неизбежность. Ничто не стоит на месте, все в мире развивается, и рано или поздно мы будем использовать все более новые поколения устройств и новые версии программного обеспечения. При этом старое ПО и старая аппаратура с определенного момента перестают быть интересными производителям, и их поддержка прекращается. Как только это случается, все сторонние производители техники и разработчики программ также перестают задумываться о совместимости своих продуктов со старыми моделями и версиями. Более того, многие из них намеренно отключают возможность использования устаревшей техники со своими новыми продуктами, как в целях улучшения безопасности пользователей, так и в своих сугубо коммерческих целях.

К примеру, компания Microsoft прекратила поддержку Windows XP еще в 2005 году (в 2009 году для 64-битной версии, в 2014 — расширенную поддержку, в 2019 — поддержку версии для банкоматов). Поддержка все еще популярной Windows 7 прекращена в 2015 году, расширенная поддержка — в 2020 году.

Это значит, что все эти версии операционной системы уже давно не получают обновления сертификатов. Как следствие всего перечисленного, разработчики ПО отказываются от поддержки старых платформ в целях обеспечения должного уровня защищенности пользователя. Например, практически все банки уже давно не позволяют своим клиентам получать доступ к собственным денежным средствам с устаревших устройств. При этом Windows 7, и даже Windows XP все еще довольно широко распространены на компьютерах как в частном, так и в корпоративном секторе.

Как заставить сайты открываться на старых компьютерах и в старых версиях браузеров?

К счастью, есть несколько вариантов, как можно продлить жизнь старым устройствам и заставить их работать в современных реалиях. Сразу скажу, что все эти решения временные и ненадежные. Самым правильным и надежным решением остается обновление техники и используемого ПО.

Как временное решение проблемы с невозможностью открыть сайт из-за проблем с сертификатами можно попробовать обновить списки актуальных и отозванных сертификатов безопасности. На старых устройствах придется делать это вручную. На данный момент существует несколько вариантов обновления сертификатов, все эти варианты мне удалось найти в сети интернет. Конечно, на практике все их опробовать не удалось, но упомянуть даже не опробованные варианты все же стоит.

Ручное обновление корневых сертификатов

Итак, при попытке соединения с сервером по шифрованным протоколам SSL/TLS (то есть, по протоколу HTTPS) может возникать ошибка:

SSL error 0x80090325 Цепочка сертификатов выпущена центром сертификации, не имеющим доверия.

Это лишь вариант описания ошибки, текст сообщения о невозможности установки защищенного соединения может быть и другим. Некоторые сервера, например, пишут о возможном несоответствии системного времени на компьютере с реальным временем. Причина заключается в истечении срока действия корневого цифрового сертификата IdenTrust DST Root CA X3, которым подписаны сертификаты от популярного удостоверяющего центра Let’s Encrypt. Им выпущено множество SSL сертификатов (более чем для 250 миллионов доменных имен) для веб-сайтов, почтовых серверов и других служб.

Для решения проблемы Let’s Encrypt уже более 5 лет использует подпись корневым сертификатом ISRG Root X1, действующим до 2035 года. Однако устройства, программы и операционные системы, не получающие автоматические обновления, не могут сами получить этот сертификат. Например, не обновляются версии:

• Android 7.1.1 и старше;
• Mozilla Firefox до 50.0;
• MacOS 10.12.0 и старше;
• Windows XP (включая Service Pack 3);
• iOS-устройств до версии iOS 10;
• OpenSSL 1.0.2 и ниже;
• Ubuntu до версии 16.04;
• Debian 8 и старше.

Для восстановления возможности работы устаревшего устройства или программного обеспечения следует обновить операционную систему или добавить SSL-сертификат ISRG Root X1 в список доверенных.

Установка корневого сертификата в ОС Windows, iOS, Linux, Android

Итак, вариант первый. Сразу скажу, что этот вариант я пробовал только на виртуальной машине с Windows XP, и он сработал только частично. Описание варианта взято здесь.

Чтобы установить новый корневой сертификат, надо скачать на устройство файл сертификата и импортировать его в список доверенных. В ОС Windows достаточно дважды щелкнуть на файле сертификата, чтобы просмотреть сведения о нем и получить возможность установить сертификат нажатием на соответствую кнопку.

Более сложный способ установки корневого сертификата для Windows XP описан здесь, хотя и не понятно, зачем такие сложности.

В iOS до 10 версии надо перейти в «Настройки» -> «Основные» -> «Профили и управление устройством», выбрать сертификат ISRG Root X1 и нажать «Установить». Затем в разделе «Настройки» -> «Основные» -> «Доверие сертификатов» включить «Доверять корневым сертификатам полностью».

В Linux необходимо сначала удалить старый корневой сертификат DST Root CA X3 из списка доверенных, для чего надо переместить его в директорию /etc/pki/ca-trust/source/blacklist, а затем установить доверие к корневому сертификату ISRG Root X1, для чего перенести его в директорию /etc/pki/ca-trust/source/anchors directory. После этих манипуляций надо обновить списки сертификатов командой update-ca-trust. Это один из способов. Подробности здесь.

Что касается ОС Android до 7.1.1, то Let’s Encrypt удалось договориться с IdenTrust о выпуске на 3 года кросс-подписи истекшего DST Root CA X3. Таким образом, устройства даже с устаревшими версиями Android не будут сообщать об ошибке как минимум до 2024 года. Действий с ними не требуется.

Дополнение: способ обновления сертификатов на телевизорах LG поду управлением WebOS описан в отдельной статье.

Обновление всех сертификатов безопасности на старых версиях Windows

Закончившийся сертификат Let’s Encrypt — далеко не единственный из тех, которые контролируют доступ пользователей к сайтам. Списки актуальных и отозванных сертификатов постоянно изменяются, и современные операционные системы получают эти списки вместе с собственными автоматическими обновлениями. Поэтому лучшим решением (если не считать обновления устройства) будет приведение всего списка сертификатов на устройстве в соответствие с реальным положением вещей.

В случае с Windows это можно сделать несколькими способами. Первый из них заключается в создании списка актуальных сертификатов на любом компьютере, где установлена современная обновляемая система Windows, и последующем импортировании этих сертификатов на компьютер со старой системой.

Сделать это не очень сложно, если почитать описание данного метода на любом подходящем сайте. Например, здесь есть короткое описание, а здесь — более детальное. Это второй вариант устранения ситуации, когда не работает интернет на старом компьютере. Но на самом деле есть еще более удобный и простой способ.

Быстрый и простой способ обновления сертификатов Windows

Третий вариант исправления проблемы с неработающим интернетом самый простой, если воспользоваться готовым инструментом с этого сайта. Данный способ заключается в использовании списков актуальных и отозванных сертификатов с официального сайта Microsoft и последующей установке этих списков в систему при помощи инструментов, также разработанных Microsoft. Правда, эти инструменты уже официально признаны устаревшими и не поддерживаемыми, но по-прежнему успешно справляются с задачей обновления сертификатов.

Описание метода взято с этого ресурса, за что выражаю автору огромную благодарность.

Итак, чтобы обновить сертификаты безопасности на старом устройстве с Windows XP,  Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и др., надо скачать и запустить последовательно на выполнение два файла:

• rvkroots_20211001.exe — самораспаковывающийся архив со списком устаревших небезопасных сертификатов, автоматически удаляет эти сертификаты из списка доверенных при запуске файла;
• rootsupd_20211001.exe — самораспаковывающийся архив со списком актуальных сертификатов, автоматически добавляет эти сертификаты в соответствующие хранилища сертификатов при запуске файла.

Списки сертификатов получены с официального сайта Microsoft 1.10.2021 г. (при желании можно распаковать архив без установки и посмотреть содержимое). Для корректного обновления списка сертификатов необходимо запускать файлы от имени пользователя, обладающего правами администратора системы.

Обновление сертификатов проверено на нескольких компьютерах под управлением операционных систем Windos XP SP 3 и Windows 7.

Как еще можно открывать сайты на старых компьютерах и смартфонах?

В отличие от других браузеров, Mozilla Firefox хранит сертификаты в собственном хранилище, не используя для этого хранилище операционной системы. Поэтому на старых устройствах, особенно на смартфонах с Android 5.0 и старше, Let’s Encrypt рекомендует установить браузер Firefox. Что касается Windows XP, то актуальная версия Firefox не поддерживает эту систему, поэтому стоит попробовать скачать и установить более старую версию этого браузера.

Для браузеров на основе движка Chromium (а это почти все популярные браузеры, в том числе Opera, Microsoft Edge, Яндекс Браузер и прочие) в сети встречаются рекомендации по сбросу настроек HSTS для отдельных сайтов. Для этого надо в адресной строке браузера набрать команду chrome://net-internals/#hsts и на открывшейся странице настроек ввести адреса нужных сайтов в раздел Delete domain security policies. На практике эту рекомендацию я не проверял.

Поскольку проблема новая и затрагивает очень большое количество устройств, я буду рад, если описываемые здесь методы решения помогут вам в исправлении проблемы, еще более буду рад распространению ссылок на данный материал. И конечно, можно выразить благодарность даже в материальной форме. Спасибо!

Обновлено: 09.03.2023
Опубликовано: 03.09.2020

Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:

• Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
• Некорректная работа отдельных приложений (например, антивирусных систем).
• Ошибки при подключении по удаленному рабочему столу.

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125 (ссылка).

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

Получение актуальных сертификатов

Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.

Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).

Открываем командную строку от администратора и вводим команду:

certutil.exe -generateSSTFromWU C:\CA\roots.sst

* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
** если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
*** необхоидимо убедиться, что каталог, в который мы сохраняем файл roots.sst чистый (в нем нет данного файла).

В папке C:\CA мы должны увидеть файл roots.sst.

Установка/обновление корневых сертификатов

Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.

Открываем командную строку от администратора и вводим команду:

C:\CA\rootsupd.exe /c /t:C:\CA

* где C:\CA — папка, в которую мы перенесли корневые сертификаты.

В появившемся окне Roots Update:

… выбираем No, чтобы не переписывать наш файл roots.sst.

В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:

C:\CA\updroots.exe C:\CA\roots.sst

Готово.