Все сертификаты windows 7 скачать

В этой статье описывается обновление, которое позволяет срочные обновления для Программы корневых сертификатов Windows в Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7 и Windows Server 2008 R2. Перед установкой этого обновления, см. Дополнительные сведения об этом обновлении и извлечь необходимые компоненты в этой статье.

Сведения об этом обновлении

Программа корневых сертификатов Windows (Windows Root Certificate Program) обеспечивает автоматическое распространение доверенных корневых сертификатов в Windows. Обычно клиентский компьютер запрашивает обновление корневых сертификатов один раз в неделю. После применения этого обновления, клиентский компьютер может получать обновления срочные корневой сертификат в течение 24 часов.

Известные проблемы

После установки этого обновления при запуске Windows Update может появиться ошибка 0x800706f7.

Решение
Чтобы устранить эту проблему, установите обновление 3024777.

Как получить это обновление

Метод 1. Центр обновления Windows

Метод 2. Центр загрузки Майкрософт

Следующие файлы доступны для загрузки из Центра загрузки Майкрософт.

Операционная система	Обновление
Для всех поддерживаемых 86-разрядных версий Windows 8.1	Загрузите пакет.
Для всех поддерживаемых 64-разрядных версий Windows 8.1	Загрузите пакет.
Для всех поддерживаемых 64-разрядных версий Windows Server 2012 R2	Загрузите пакет.
Для всех поддерживаемых 32-разрядных версий Windows 8	Загрузите пакет.
Для всех поддерживаемых версий Windows 8 для систем на базе x64	Загрузите пакет.
Для всех поддерживаемых 64-разрядных версий Windows Server 2012	Загрузите пакет.
Для всех поддерживаемых 86-разрядных версий Windows 7	Загрузите пакет.
Для всех поддерживаемых 64-разрядных версий Windows 7	Загрузите пакет.
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2	Загрузите пакет.
Для всех поддерживаемых версий Windows Server 2008 R2 для платформы IA-64	Загрузите пакет.

Notes

• Следует запускать программу установки из командной строки с повышенными правами.

• Обновление для Windows RT 8.1 или Windows RT можно получить только из центра обновления Windows.

Для получения дополнительных сведений о том, как скачать файлы поддержки Майкрософт, щелкните следующий номер статьи базы знаний Майкрософт.

Как загрузить файлы поддержки Microsoft через оперативные службы 119591Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последнее антивирусное программное обеспечение, доступное на период публикации файла. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.

Способ 3: Накопительный пакет обновления для Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT или Windows Server 2012

Установите одно из следующих накопительных пакетов обновления, датированные декабря 2014 г.

• Получить декабря 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2

• Получить декабря 2014 накопительный пакет обновления для Windows RT, Windows 8 и Windows Server 2012

Примечание. Накопительный пакет обновления устраняет многие другие проблемы, отдельное обновление устраняет проблему. Накопительный пакет обновления больше, чем отдельное обновление. Таким образом накопительный пакет обновлений занимает больше времени при загрузке.

Сведения об обновлении

Предварительные условия

Для установки этого обновления необходимо установить обновление 2919355 в Windows Server 2012 R2 или Windows 8.1. Или установите Пакет обновления 1 для Windows 7 или Windows Server 2008 R2.

Сведения о реестре

Чтобы применить это обновление, нет необходимости вносить изменения в реестр.

Необходимость перезагрузки

Возможно потребуется перезагрузить компьютер после установки этого обновления.

Сведения о замене обновлений

Это обновление не заменяет ранее выпущенное обновление.

Дополнительные сведения

Дополнительные сведения см. ниже статьях базы знаний Майкрософт:

2677070 Программа автоматического обновления для отозванных сертификатов для Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2

2813430 Обновление, которое позволяет администраторам обновлять надежные и запрещенные CTL в отключенных средах в Windows

Глобальная версия этого обновления устанавливает файлы, которые имеют атрибуты, перечисленные в следующих таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.

Сведения о файлах Windows 8.1 и Windows Server 2012 R2 и заметки

• Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.

  Версия	Продукт	Контрольная точка	Направление поддержки
  6.3.960 0.17 xxx	Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2	RTM	GDR

• Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.

Для всех поддерживаемых 32-разрядных версий Windows 8.1

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.3.9600.17475	1,612,992	30-Oct-2014	23:38	x86

Для всех поддерживаемых версий на базе x64 Windows 8.1 или Windows Server 2012 R2

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.3.9600.17475	1,970,432	30-Oct-2014	23:39	x64
Crypt32.dll	6.3.9600.17475	1,612,992	30-Oct-2014	23:38	x86

Для всех поддерживаемых версий Windows 8.1 для систем на базе ARM

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.3.9600.17475	1,499,336	30-Oct-2014	23:32	Неприменимо

Сведения о файле Windows 8 и Windows Server 2012 и заметки

• Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.

  Версия	Продукт	Контрольная точка	Направление поддержки
  6.2.920 0.17xxx	Windows 8, Windows RT или Windows Server 2012	RTM	GDR
  6.2.920 0.21xxx	Windows 8, Windows RT или Windows Server 2012	RTM	LDR

• Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.

• Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.

Для всех поддерживаемых версий Windows 8 для систем на базе x86

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.2.9200.17164	1,569,792	30-Oct-2014	05:22	x86
Crypt32.dll	6.2.9200.21279	1,591,808	30-Oct-2014	00:46	x86

Для всех поддерживаемых версий x64 под управлением Windows 8 или Windows Server 2012

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.2.9200.17164	1,890,816	30-Oct-2014	07:20	x64
Crypt32.dll	6.2.9200.21279	1,919,488	30-Oct-2014	00:51	x64
Crypt32.dll	6.2.9200.17164	1,569,792	30-Oct-2014	05:22	x86
Crypt32.dll	6.2.9200.21279	1,591,808	30-Oct-2014	00:46	x86

Для всех поддерживаемых версий Windows 8 для систем на базе ARM

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.2.9200.17164	1,403,392	30-Oct-2014	05:45	Неприменимо

Информация о файлах для Windows 7 и Windows Server 2008 R2 и примечания

• Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.

• Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных критических проблем. В обновления LDR входят также специализированные исправления.

• Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды не указываются.

Для всех поддерживаемых 86-разрядных версий Windows 7

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.1.7601.18700	1,174,528	12-Dec-2014	05:07	x86
Crypt32.dll	6.1.7601.22908	1,175,040	12-Dec-2014	05:38	x86
Cryptnet.dll	6.1.7601.18205	103,936	09-Jul-2013	04:46	x86
Cryptnet.dll	6.1.7601.22780	106,496	19-Aug-2014	02:47	x86
Cryptsvc.dll	6.1.7601.18526	143,872	07-Jul-2014	01:40	x86
Cryptsvc.dll	6.1.7601.22856	145,920	30-Oct-2014	02:14	x86
Wintrust.dll	6.1.7601.18526	179,200	07-Jul-2014	01:40	x86
Wintrust.dll	6.1.7601.22736	179,200	07-Jul-2014	01:41	x86

Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.1.7601.18700	1,480,192	12-Dec-2014	05:31	x64
Crypt32.dll	6.1.7601.22908	1,480,704	12-Dec-2014	06:02	x64
Cryptnet.dll	6.1.7601.18205	139,776	09-Jul-2013	05:46	x64
Cryptnet.dll	6.1.7601.22780	142,336	19-Aug-2014	03:05	x64
Cryptsvc.dll	6.1.7601.18526	187,904	07-Jul-2014	02:06	x64
Cryptsvc.dll	6.1.7601.22736	190,976	07-Jul-2014	02:06	x64
Wintrust.dll	6.1.7601.18526	229,376	07-Jul-2014	02:07	x64
Wintrust.dll	6.1.7601.22736	229,376	07-Jul-2014	02:06	x64
Crypt32.dll	6.1.7601.18700	1,174,528	12-Dec-2014	05:07	x86
Crypt32.dll	6.1.7601.22908	1,175,040	12-Dec-2014	05:38	x86
Cryptnet.dll	6.1.7601.18205	103,936	09-Jul-2013	04:46	x86
Cryptnet.dll	6.1.7601.22780	106,496	19-Aug-2014	02:47	x86
Cryptsvc.dll	6.1.7601.18526	143,872	07-Jul-2014	01:40	x86
Cryptsvc.dll	6.1.7601.22856	145,920	30-Oct-2014	02:14	x86
Wintrust.dll	6.1.7601.18526	179,200	07-Jul-2014	01:40	x86
Wintrust.dll	6.1.7601.22736	179,200	07-Jul-2014	01:41	x86

Для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе процессоров IA-64

Имя файла	Версия файла	Размер файла	Дата	Время	Платформа
Crypt32.dll	6.1.7601.18700	2,690,048	12-Dec-2014	04:45	IA-64
Crypt32.dll	6.1.7601.22908	2,691,072	12-Dec-2014	04:45	IA-64
Cryptnet.dll	6.1.7601.18205	267,264	09-Jul-2013	04:27	IA-64
Cryptnet.dll	6.1.7601.22780	272,896	19-Aug-2014	02:13	IA-64
Cryptsvc.dll	6.1.7601.18526	388,608	07-Jul-2014	01:22	IA-64
Cryptsvc.dll	6.1.7601.22736	392,704	07-Jul-2014	01:25	IA-64
Wintrust.dll	6.1.7601.18526	514,048	07-Jul-2014	01:22	IA-64
Wintrust.dll	6.1.7601.22736	514,048	07-Jul-2014	01:25	IA-64
Crypt32.dll	6.1.7601.18700	1,174,528	12-Dec-2014	05:07	x86
Crypt32.dll	6.1.7601.22908	1,175,040	12-Dec-2014	05:38	x86
Cryptnet.dll	6.1.7601.18205	103,936	09-Jul-2013	04:46	x86
Cryptnet.dll	6.1.7601.22780	106,496	19-Aug-2014	02:47	x86
Cryptsvc.dll	6.1.7601.18526	143,872	07-Jul-2014	01:40	x86
Cryptsvc.dll	6.1.7601.22856	145,920	30-Oct-2014	02:14	x86
Wintrust.dll	6.1.7601.18526	179,200	07-Jul-2014	01:40	x86
Wintrust.dll	6.1.7601.22736	179,200	07-Jul-2014	01:41	x86

Ссылки

См. термины , которые корпорация Майкрософт использует для описания обновлений программного обеспечения.

В данной статье мы разберем способы решения проблемы с сертификатами.

Установка официального обновления

Создание точки восстановления

Нажмите правой кнопкой мыши по “Мой компьютер” и выберите “Свойства”, далее перейдите в “Дополнительные параметры сисйтемы”.

На вкладке “Защита системы” нажмите кнопку “Настроить”.

Определите желаемое количество места которое необходимо зарезервировать для точки восстановления передвинув ползунок и нажмите кнопку “ОК”.

Когда защита включена нажмите “Создать” введите необходимое имя и нажмите “Создать”.

Дождитесь создания точки восстановления системы и нажмите “Закрыть”.

Внесение изменений в реестр Windows с помощью файла-реестра

Скачайте данный файл с облака.

Откройте скаченный файл двойным щелчком мыши.

В диалоговом окне «Редактора реестра» нажимаем «Да«.

Готово, вы разрешили использование сертификатов безопасности TLS 1.2 в вашем Windows 7.

Важно: после манипуляций в реестре обязательно перезагрузите ваше устройство.

Заключение

Данные манипуляции позволяют избавиться от следующих ошибок:
— ошибка проверки лицензии на Windows 7;
— ошибка проверки обновления на Windows 7;
— ошибка проверки обновления лаунчера на Windows 7;
— «зависания» при скачивании предыдущей и бета-версии привода в пункте меню “Версии”.

На ОС Windows 7 — Windows 10 требуется время от времени обновлять корневые центры сертификации.

Замечание

Корневые сертификаты — опорные столбы для других, промежуточных сертификатов центров выпуска сертификатов, для удостоверяющих центров и в конечном итоге для сайтов. Без них цепочка доверия не работает и шифрование https не работает. В связи с тем, что необходимо обеспечивать безопасность, получать корневые сертификаты можно лишь из проверенных источников (нельзя загружать никакие файлы для сертификатов с Яндекс Диска, сторонних сайтов и т.п.).

1. Получение корневых сертификатов с сайта Windows Update

Для загрузки корневых сертификатов есть утилита certutil.exe, которую нужно запустить с ключом -generateSSTFromWU и именем выходного файла, например: c:\certs\roots.sst

certutil.exe -generateSSTFromWU c:\certs\roots.sst

Где certs — каталог, который необходимо создать.

Описание всех ключей команды можно прочесть в файле spisok.txt:

• spisok-win1251.txt
• spisok-linux.txt

Описание ключа программы certutil.exe:

-generateSSTFromWU — Создание SST в Центре обновления Windows

Здесь SST — актуальные доверенные корневые центры сертификации в файле типа SST.

Источник: updating trusted root certificates in windows 10

Выполнение команды certutil.exe -generateSSTFromWU c:\certs\roots.sst занимает минуты 3-4:

2. Экспорт корневых сертификатов в файл p7b

Полученный SST-файл открывается двойным щелчком мыши.

В котором можно отсортировать сертификаты по сроку действия, выделать действующие сертификаты и нажать правую кнопку мыши — Экспорт.

2.1 Начало мастера экспорта сертификатов:

2.2 Выбор типа выходного файла. Я поставил точку против p7b — транспортный контейнер, в котором все сертификаты в одном файле (так называемый bundle).

2.3 Выбираем выходной каталог и имя файла с расширением p7b для экспорта

2.4 Продолжение работы мастера — кнопка «Далее»

2.5 Сообщение об успешном завершении экспорта: «Экспорт успешно завершен».

3. Импорт корневых сертификатов из файла p7b в систему

3.1 В Проводнике щелкнуть по получившемуся файлу p7b правой кнопкой мыши — «Импортировать»

Увеличил фрагмент экрана:

3.2 Начало мастера импорта сертификатов

Далее

3.3 Соглашаемся с автоматическим выбором хранилища — далее.

3.4 Последний шаг мастера импорта сертификатов в систему:

3.5 Сообщение о завершении импорта сертифатов в систему: «Импорт успешно завершен».

Корневые сертификаты обновлены.

Замечание: вместо способа с промежуточным p7b файлом, можно использовать оснастку сертификатов и напрямую импортировать файл SST:
Запустите MMC -> добавить оснастку -> сертификаты -> учетная запись компьютера> локальный компьютер.
Щелкните правой кнопкой мыши Доверенные корневые центры сертификации, Все задачи -> Импорт, найдите файл SST
(в типе файла выберите Microsoft Serialized Certificate Store — *.sst) -> Открыть
-> Поместить все сертификаты в следующее хранилище -> Доверенные корневые центры сертификации.

4. Загрузка и установка корневого сертификата Минцифры

4.1 Скачать сертификат с сайта

https://gosuslugi.ru/tls

4.2 Установить его таким же способом — правой кнопкой мыши — установить.
Для верности можно выбрать, куда импортировать — в раздел «Доверенные корневые центры».

5. Другие источники сертификатов — сайт Казначейства

Сайт Федерального Казначейства:

корневые сертификаты

6. Способ получения действующих и отозванных сертификатов в виде CAB-файлов

• Список действующих корневых сертификатов — http://ctldl.windowsupdate.com/ … authrootstl.cab
• Список отозванных корневых сертификатов — http://ctldl.windowsupdate.com/ … disallowedcertstl.cab

Распаковать файл при помощи архиватора 7ZIP (7zip.org), например, в папку C:\PS

Установка:

• действующие корневые центры — импорт из файла authroot.stl

  certutil -enterprise -f -v -AddStore «Root» «C:\PS\authroot.stl»

• отозванные корневые центры — импорт из файла disallowedcert.stl

  certutil -enterprise -f -v -AddStore disallowed «C:\PS\disallowedcert.stl»

По умолчанию, все операционные системы семейства Windows автоматически получают и обновляют корневые сертификаты с сайта Microsoft. Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище сертификаты для клиентов и устройств Windows. Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, Windows автоматически скачает с узла Microsoft Update и добавит такой корневой сертификат в доверенные на вашем компьютере.

Windows запрашивает обновление списка корневых сертификатов (certificate trust lists — CTL) один раз в неделю. Если в Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневые сертификаты, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны недоверенными CA, см. статью об ошибке в Chrome Этот сайт не может обеспечить безопасное соединение), либо с установкой запуском подписанных приложений или скриптов.

В этой статье попробуем разобраться, как в Windows вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.

Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, для автоматического обновления корневых сертификатов Microsoft рекомендует открыть прямой доступ (bypass) к веб-узлам Microsoft. Но это не всегда возможно/применимо.

Управление корневыми сертификатами в Windows 10 и 11

Как посмотреть список корневых сертификатов на устройстве Windows?

1. Чтобы открыть хранилище корневых сертификатов компьютера в Windows /Windows Server, запустите консоль
   mmc.exe
   ;
2. Нажмите Файл (File) -> Добавить или удалить оснастку (Add/Remove Snap-in), в списке оснасток выберите Сертификаты (Certificates) -> Добавить (Add);
3. В диалоговом окне выберите что вы хотите управлять сертификатами учетной записи компьютера (Computer account);
4. Далее -> Ok -> Ok;
5. Разверните Certificates (Сертификаты) -> Trusted Root Certification Authorities Store (Доверенные корневые сертификаты). В этом списке содержится список доверенных корневых сертификатов вашего компьютера.

Вы можете вывести список доверенных корневых сертификатов на вашем компьютере со сроками их действия с помощью PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:

Get-ChildItem cert:\LocalMachine\root|  Where {$_.NotAfter -lt  (Get-Date).AddDays(30)} |select NotAfter, Subject

В целях безопасности рекомендует периодически проверять хранилище доверенных сертификатов на наличие поддельных сертификатов с помощью утилиты Sigcheck. Утилита позволяет сравнить список сертификатов, установленных на компьютере со списком корневых сертификатов на сайте Microsoft (можно скачать офлайн файл с актуальными сертификатами authrootstl.cab).

Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой с помощью функцию Экспорта/Импорта.

1. Вы можете экспортировать любой сертификат .CER в файл, щелкнув по нему и выбрав “Все задачи” -> “Экспорт”;
2. Затем с помощью команды Импорт можно импортировать этот сертификат на другом компьютере.

Включить/отключить автоматическое обновление корневых сертификатов в Windows

Как мы уже упомянули, Windows по умолчанию сама обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификатов в Windows через GPO или реестр.

Откройте локальный редактор групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication.

Параметр Turn off Automatic Root Certificates Update в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайт Windows Update. По умолчанию это политика не настроена и Windows всегда пытается автоматически обновлять корневые сертификаты.

Если эта политика не настроена, а сертификаты не обновляются автоматически, проверьте не включен ли вручную параметр реестра, отвечающий за эту настройку. Проверьте значение параметра реестра с помощью PowerShell:

Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate

Если команда вернет, что значение ключа
DisableRootAutoUpdate=1
, значит на вашем компьютере отключено обновление корневых сертификатов. Чтобы включить его, измените значение параметра на 0.

Ручное обновление корневых сертификатов в Windows 10 и 11

Утилита управления и работы с сертификатами Certutil (появилась в Windows 10, для Windows 7 доступна в виде отдельного обновления), позволяет скачать с узлов Windows Update и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10/11 с доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU c:\PS\roots.sst

Updated SST file.
CertUtil: -generateSSTFromWU command completed successfully.

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.

В указанном каталоге появится файл SST, содержащий актуальный список сертификатов. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты. Дважды щелкните по нему.

В открывшейся
mmc
консоли вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 436 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Для установки всех сертификатов из SST файла и добавления их в список корневых сертификатов компьютера можно воспользоваться командами PowerShell:
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority. В нашем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.

Чистая копия Windows после установки содержит в корневом хранилище лишь небольшое количество сертификатов. Если компьютер подключен к интернету, остальные корневые сертификаты будут устанавливаться автоматически (по требованию), если ваше устройство попытается получить доступ к HTTPS сайту/SSL сертификату, в чей цепочке доверия есть отпечаток из CTL Microsoft. Поэтому как правило, нет необходимости добавлять в свое локальное хранилище сразу все сертификаты, доверенные Microsoft.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.

Файл authroot.stl представляет собой контейнер со списком отпечатков (thumbprint) доверенных сертификатов Microsoft в формате Certification Trust List.

Данный файл можно установить в системе с помощью утилиты certutil:

certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"

Root "Trusted Root Certification Authorities"
CTL 0 added to store.
CertUtil: -addstore command completed successfully.

Также вы можете импортировать сертификаты из консоли управления сертификатами (Trust Root CertificationAuthorities –>Certificates -> All Tasks > Import). Укажите путь к вашему STL файлу сертификатами.

После выполнения команды, в консоли управления сертификатами (
certmgr.msc
) в контейнере Trusted Root Certification Authorities (Доверенные корневые сертификаты) появится новый раздел с именем Certificate Trust List (Список доверия сертификатов).

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl "

Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах

Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.

Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:

certutil.exe –generateSSTFromWU roots.sst

Затем сертификаты из данного файла можно установить через SCCM или PowerShell логон скрипт в GPO:
$sstStore = ( Get-ChildItem -Path \\dc01\SYSVOL\winitpro.ru\rootcert\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:

Certutil -syncWithWU -f \\dc01\SYSVOL\winitpro.ru\rootcert\

В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Затем с помощью GPP нужно изменить значение параметра реестра RootDirURL в ветке HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate. Этот параметр должен указывать на сетевую папку, из которой клиентам нужно получать новые корневые сертификаты. Перейдите в секцию редактора GPO Computer Configuration -> Preferences -> Windows Settings -> Registry. И создайте новый параметр реестра со значениями:

Action: Update
Hive: HKLM
Key path: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
Value name: RootDirURL
Type: REG_SZ
Value data: file://\\dc01\SYSVOL\winitpro.ru\rootcert\

Осталось назначить эту политику на компьютеры и после обновления настроек GPO на клиенте проверить появление новых корневых сертификатов в хранилище.

Политика Turn off Automatic Root Certificates Update в разделе Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication settings должна быть выключена или не настроена.

Обновление корневых сертификатов в Windows 7

Несмотря на то, что Windows 7 уже снята с поддержки, есть много пользователей и компаний, в которых она еще используется.

После установки чистой Windows 7 из образа вы может столкнуться, что многие современные программы и инструменты на ней не работают из-за того, что они подписаны с помощью новых сертификатов. В частности, были жалобы, что в Windows 7 64 без обновления сертификатов не удается установить .Net Framework 4.8. или

vs_Community.exe с ошибкой:

installer manifest failed signature validation

Чтобы обновить корневые сертификаты в Windows 7, нужно скачать и установить MSU обновление KB2813430 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in-windows-0c51c702-fdcc-f6be-7089-4585fad729d6).

После этого вы можете использовать утилиту certutil для генерации SST файла с сертификатами (на этом или на другом компьютере):

certutil.exe -generateSSTFromWU c:\ps\roots.sst

Теперь можно импортировать сертификаты в доверенные:

MMC -> add snap-in -> certificates -> computer account > local computer. Перейдите в раздел Trusted root certification authority, выберите All Tasks -> Import, найдите ваш SST файл (в типе файлов выберите Microsoft Serialized Certificate Store — *.sst) -> Open -> Place all certificates in the following store -> Trusted Root Certification Authorities

Утилита rootsupd.exe для обновления сертификатов в Windows XP

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).

1. Скачайте утилиту rootsupd.exe, перейдя по ссылке (по состоянию на 15.07.2019 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа. На данный момент вы можете скачать утилиту с сайта kaspersky.com — http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip);
2. Для установки корневых сертификатов Windows, достаточно запустить файл rootsupd.exe. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды:
   rootsupd.exe /c /t:C:\PS\rootsupd
   
3. Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов. Однако нам чуть позже понадобится файл updroots.exe.

Была информация, что утилиту updroots.exe нежелательно использовать в современных билдах Windows 10 1803+, т.к. она может сломать корневой сертификат Microsoft Root Certificate Authority.

В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на компьютерах Windows, изолированных от Интернета.