Windows update root certificate windows 7

This article describes an update that enables urgent updates for the Windows Root Certificate Program in Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, Windows Server 2012, Windows 7, and Windows Server 2008 R2. Before you apply this update, see more about this update and check out the prerequisites in this article.

About this update

The Windows Root Certificate Program enables trusted root certificates to be distributed automatically in Windows. Usually, a client computer polls root certificate updates one time a week. After you apply this update, the client computer can receive urgent root certificate updates within 24 hours.

Known issue

After you apply this update, you may encounter error 0x800706f7 when you run Windows Update.

Resolution
To resolve this issue, install update 3024777.

How to obtain this update

Method 1: Windows Update

Method 2: Microsoft Download Center

The following files are available for download from the Microsoft Download Center.

Operating system	Update
All supported x86-based versions of Windows 8.1	Download the package now.
All supported x64-based versions of Windows 8.1	Download the package now.
All supported x64-based versions of Windows Server 2012 R2	Download the package now.
All supported x86-based versions of Windows 8	Download the package now.
All supported x64-based versions of Windows 8	Download the package now.
All supported x64-based versions of Windows Server 2012	Download the package now.
All supported x86-based versions of Windows 7	Download the package now.
All supported x64-based versions of Windows 7	Download the package now.
All supported x64-based versions of Windows Server 2008 R2	Download the package now.
All supported IA-64-based versions of Windows Server 2008 R2	Download the package now.

Notes

• The update installer should be run from an elevated command prompt.

• The update for Windows RT 8.1 or Windows RT can be obtained only from Windows Update.

For more information about how to download Microsoft support files, click the following article number to view the article in the Microsoft Knowledge Base:

119591 How to obtain Microsoft support files from online services Microsoft scanned this file for viruses. Microsoft used the most current virus-detection software that was available on the date that the file was posted. The file is stored on security-enhanced servers that help prevent any unauthorized changes to the file.

Method 3: Update rollup for Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, Windows 8, Windows RT, or Windows Server 2012

Install one of the following update rollup packages that are dated December 2014:

• Get the December 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2

• Get the December 2014 update rollup for Windows RT, Windows 8, and Windows Server 2012

Note The update rollup fixes many other issues in addition to the issue that the stand-alone update fixes. The update rollup is larger than the stand-alone update. Therefore, the update rollup takes longer to download.

Update information

Prerequisites

To install this update, you must install update 2919355 in Windows 8.1 or Windows Server 2012 R2. Or, install Service Pack 1 for Windows 7 or Windows Server 2008 R2.

Registry information

To apply this update, you do not have to make any changes to the registry.

Restart requirement

You may have to restart the computer after you apply this update.

Update replacement information

This update does not replace a previously released update.

More Information

For more information, see the following articles in the Microsoft Knowledge Base:

KB 2677070 An automatic updater of revoked certificates is available for Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2

KB 2813430 An update that enables administrators to update trusted and disallowed CTLs in disconnected environments in Windows

The global version of this update installs files that have the attributes that are listed in the following tables. The dates and the times for these files are listed in Coordinated Universal Time (UTC). The dates and the times for these files on your local computer are displayed in your local time together with your current daylight saving time (DST) bias. Additionally, the dates and the times may change when you perform certain operations on the files.

Windows 8.1 and Windows Server 2012 R2 file information and notes

• The files that apply to a specific product, milestone (RTM, SPn), and service branch (LDR, GDR) can be identified by examining the file version numbers as shown in the following table.

  Version	Product	Milestone	Service branch
  6.3.960 0.17 xxx	Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2	RTM	GDR

• The MANIFEST files (.manifest) and the MUM files (.mum) that are installed for each environment are not listed.

For all supported x86-based versions of Windows 8.1

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.3.9600.17475	1,612,992	30-Oct-2014	23:38	x86

For all supported x64-based versions of Windows 8.1 or Windows Server 2012 R2

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.3.9600.17475	1,970,432	30-Oct-2014	23:39	x64
Crypt32.dll	6.3.9600.17475	1,612,992	30-Oct-2014	23:38	x86

For all supported ARM-based versions of Windows 8.1

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.3.9600.17475	1,499,336	30-Oct-2014	23:32	Not applicable

Windows 8 and Windows Server 2012 file information and notes

• The files that apply to a specific product, milestone (RTM, SPn), and service branch (LDR, GDR) can be identified by examining the file version numbers as shown in the following table.

  Version	Product	Milestone	Service branch
  6.2.920 0.17xxx	Windows 8, Windows RT, or Windows Server 2012	RTM	GDR
  6.2.920 0.21xxx	Windows 8, Windows RT, or Windows Server 2012	RTM	LDR

• GDR service branches contain only those fixes that are widely released to address widespread, critical issues. LDR service branches contain hotfixes in addition to widely released fixes.

• The MANIFEST files (.manifest) and the MUM files (.mum) that are installed for each environment are not listed.

For all supported x86-based versions of Windows 8

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.2.9200.17164	1,569,792	30-Oct-2014	05:22	x86
Crypt32.dll	6.2.9200.21279	1,591,808	30-Oct-2014	00:46	x86

For all supported x64-based versions of Windows 8 or Windows Server 2012

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.2.9200.17164	1,890,816	30-Oct-2014	07:20	x64
Crypt32.dll	6.2.9200.21279	1,919,488	30-Oct-2014	00:51	x64
Crypt32.dll	6.2.9200.17164	1,569,792	30-Oct-2014	05:22	x86
Crypt32.dll	6.2.9200.21279	1,591,808	30-Oct-2014	00:46	x86

For all supported ARM-based versions of Windows 8

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.2.9200.17164	1,403,392	30-Oct-2014	05:45	Not applicable

Windows 7 and Windows Server 2008 R2 file information and notes

• The files that apply to a specific product, milestone (RTM, SPn), and service branch (LDR, GDR) can be identified by examining the file version numbers as shown in the following table:

• GDR service branches contain only those fixes that are widely released to address widespread, critical issues. LDR service branches contain hotfixes in addition to widely released fixes.

• The MANIFEST files (.manifest) and the MUM files (.mum) that are installed for each environment are not listed.

For all supported x86-based versions of Windows 7

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.1.7601.18700	1,174,528	12-Dec-2014	05:07	x86
Crypt32.dll	6.1.7601.22908	1,175,040	12-Dec-2014	05:38	x86
Cryptnet.dll	6.1.7601.18205	103,936	09-Jul-2013	04:46	x86
Cryptnet.dll	6.1.7601.22780	106,496	19-Aug-2014	02:47	x86
Cryptsvc.dll	6.1.7601.18526	143,872	07-Jul-2014	01:40	x86
Cryptsvc.dll	6.1.7601.22856	145,920	30-Oct-2014	02:14	x86
Wintrust.dll	6.1.7601.18526	179,200	07-Jul-2014	01:40	x86
Wintrust.dll	6.1.7601.22736	179,200	07-Jul-2014	01:41	x86

For all supported x64-based versions of Windows 7 and of Windows Server 2008 R2

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.1.7601.18700	1,480,192	12-Dec-2014	05:31	x64
Crypt32.dll	6.1.7601.22908	1,480,704	12-Dec-2014	06:02	x64
Cryptnet.dll	6.1.7601.18205	139,776	09-Jul-2013	05:46	x64
Cryptnet.dll	6.1.7601.22780	142,336	19-Aug-2014	03:05	x64
Cryptsvc.dll	6.1.7601.18526	187,904	07-Jul-2014	02:06	x64
Cryptsvc.dll	6.1.7601.22736	190,976	07-Jul-2014	02:06	x64
Wintrust.dll	6.1.7601.18526	229,376	07-Jul-2014	02:07	x64
Wintrust.dll	6.1.7601.22736	229,376	07-Jul-2014	02:06	x64
Crypt32.dll	6.1.7601.18700	1,174,528	12-Dec-2014	05:07	x86
Crypt32.dll	6.1.7601.22908	1,175,040	12-Dec-2014	05:38	x86
Cryptnet.dll	6.1.7601.18205	103,936	09-Jul-2013	04:46	x86
Cryptnet.dll	6.1.7601.22780	106,496	19-Aug-2014	02:47	x86
Cryptsvc.dll	6.1.7601.18526	143,872	07-Jul-2014	01:40	x86
Cryptsvc.dll	6.1.7601.22856	145,920	30-Oct-2014	02:14	x86
Wintrust.dll	6.1.7601.18526	179,200	07-Jul-2014	01:40	x86
Wintrust.dll	6.1.7601.22736	179,200	07-Jul-2014	01:41	x86

For all supported IA-64-based versions of Windows Server 2008 R2

File name	File version	File size	Date	Time	Platform
Crypt32.dll	6.1.7601.18700	2,690,048	12-Dec-2014	04:45	IA-64
Crypt32.dll	6.1.7601.22908	2,691,072	12-Dec-2014	04:45	IA-64
Cryptnet.dll	6.1.7601.18205	267,264	09-Jul-2013	04:27	IA-64
Cryptnet.dll	6.1.7601.22780	272,896	19-Aug-2014	02:13	IA-64
Cryptsvc.dll	6.1.7601.18526	388,608	07-Jul-2014	01:22	IA-64
Cryptsvc.dll	6.1.7601.22736	392,704	07-Jul-2014	01:25	IA-64
Wintrust.dll	6.1.7601.18526	514,048	07-Jul-2014	01:22	IA-64
Wintrust.dll	6.1.7601.22736	514,048	07-Jul-2014	01:25	IA-64
Crypt32.dll	6.1.7601.18700	1,174,528	12-Dec-2014	05:07	x86
Crypt32.dll	6.1.7601.22908	1,175,040	12-Dec-2014	05:38	x86
Cryptnet.dll	6.1.7601.18205	103,936	09-Jul-2013	04:46	x86
Cryptnet.dll	6.1.7601.22780	106,496	19-Aug-2014	02:47	x86
Cryptsvc.dll	6.1.7601.18526	143,872	07-Jul-2014	01:40	x86
Cryptsvc.dll	6.1.7601.22856	145,920	30-Oct-2014	02:14	x86
Wintrust.dll	6.1.7601.18526	179,200	07-Jul-2014	01:40	x86
Wintrust.dll	6.1.7601.22736	179,200	07-Jul-2014	01:41	x86

References

See the terminology that Microsoft uses to describe software updates.

Обновлено: 09.03.2023
Опубликовано: 03.09.2020

Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:

• Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
• Некорректная работа отдельных приложений (например, антивирусных систем).
• Ошибки при подключении по удаленному рабочему столу.

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживания компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125 (ссылка).

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

Получение актуальных сертификатов

Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.

Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).

Открываем командную строку от администратора и вводим команду:

certutil.exe -generateSSTFromWU C:\CA\roots.sst

* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.
** если мы получили ошибку Не удается найти указанный файл. 0x80070002, то необходимо убедиться, что каталог CA создан (в нашем примере в корне диска С).
*** необхоидимо убедиться, что каталог, в который мы сохраняем файл roots.sst чистый (в нем нет данного файла).

В папке C:\CA мы должны увидеть файл roots.sst.

Установка/обновление корневых сертификатов

Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.

Открываем командную строку от администратора и вводим команду:

C:\CA\rootsupd.exe /c /t:C:\CA

* где C:\CA — папка, в которую мы перенесли корневые сертификаты.

В появившемся окне Roots Update:

… выбираем No, чтобы не переписывать наш файл roots.sst.

В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:

C:\CA\updroots.exe C:\CA\roots.sst

Готово. 

По умолчанию, все операционные системы семейства Windows автоматически получают и обновляют корневые сертификаты с сайта Microsoft. Компания MSFT в рамках программы корневых сертификатов Microsoft Trusted Root Certificate Program, ведет и публикует в своем онлайн хранилище сертификаты для клиентов и устройств Windows. Если проверяемый сертификат в своей цепочке сертификации относится к корневому CA, который участвует в этой программе, Windows автоматически скачает с узла Microsoft Update и добавит такой корневой сертификат в доверенные на вашем компьютере.

Windows запрашивает обновление списка корневых сертификатов (certificate trust lists — CTL) один раз в неделю. Если в Windows отсутствует прямой доступ к каталогу Windows Update, то система не сможет обновить корневые сертификаты, соответственно у пользователя могут быть проблемы с открытием сайтов (SSL сертификаты которых подписаны недоверенными CA, см. статью об ошибке в Chrome Этот сайт не может обеспечить безопасное соединение), либо с установкой запуском подписанных приложений или скриптов.

В этой статье попробуем разобраться, как в Windows вручную обновить список корневых сертификатов в TrustedRootCA в изолированных сетях, или компьютерах/серверах без прямого подключения к Интернету.

Примечание. Если ваши компьютеры выходят в Интернет через прокси-сервер, для автоматического обновления корневых сертификатов Microsoft рекомендует открыть прямой доступ (bypass) к веб-узлам Microsoft. Но это не всегда возможно/применимо.

Управление корневыми сертификатами в Windows 10 и 11

Как посмотреть список корневых сертификатов на устройстве Windows?

1. Чтобы открыть хранилище корневых сертификатов компьютера в Windows /Windows Server, запустите консоль
   mmc.exe
   ;
2. Нажмите Файл (File) -> Добавить или удалить оснастку (Add/Remove Snap-in), в списке оснасток выберите Сертификаты (Certificates) -> Добавить (Add);
3. В диалоговом окне выберите что вы хотите управлять сертификатами учетной записи компьютера (Computer account);
4. Далее -> Ok -> Ok;
5. Разверните Certificates (Сертификаты) -> Trusted Root Certification Authorities Store (Доверенные корневые сертификаты). В этом списке содержится список доверенных корневых сертификатов вашего компьютера.

Вы можете вывести список доверенных корневых сертификатов на вашем компьютере со сроками их действия с помощью PowerShell:

Get-Childitem cert:\LocalMachine\root |format-list

Можно вывести список истекших сертификатов, или которые истекут в ближайшие 30 дней:

Get-ChildItem cert:\LocalMachine\root|  Where {$_.NotAfter -lt  (Get-Date).AddDays(30)} |select NotAfter, Subject

В целях безопасности рекомендует периодически проверять хранилище доверенных сертификатов на наличие поддельных сертификатов с помощью утилиты Sigcheck. Утилита позволяет сравнить список сертификатов, установленных на компьютере со списком корневых сертификатов на сайте Microsoft (можно скачать офлайн файл с актуальными сертификатами authrootstl.cab).

Вы можете вручную перенести файл корневого сертификата с одного компьютера на другой с помощью функцию Экспорта/Импорта.

1. Вы можете экспортировать любой сертификат .CER в файл, щелкнув по нему и выбрав “Все задачи” -> “Экспорт”;
2. Затем с помощью команды Импорт можно импортировать этот сертификат на другом компьютере.

Включить/отключить автоматическое обновление корневых сертификатов в Windows

Как мы уже упомянули, Windows по умолчанию сама обновляет корневые сертификаты. Вы можете включить или отключить обновление сертификатов в Windows через GPO или реестр.

Откройте локальный редактор групповой политики (gpedit.msc) и перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication.

Параметр Turn off Automatic Root Certificates Update в этом разделе позволяет отключить автоматическое обновление корневых сертификатов через сайт Windows Update. По умолчанию это политика не настроена и Windows всегда пытается автоматически обновлять корневые сертификаты.

Если эта политика не настроена, а сертификаты не обновляются автоматически, проверьте не включен ли вручную параметр реестра, отвечающий за эту настройку. Проверьте значение параметра реестра с помощью PowerShell:

Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate

Если команда вернет, что значение ключа
DisableRootAutoUpdate=1
, значит на вашем компьютере отключено обновление корневых сертификатов. Чтобы включить его, измените значение параметра на 0.

Ручное обновление корневых сертификатов в Windows 10 и 11

Утилита управления и работы с сертификатами Certutil (появилась в Windows 10, для Windows 7 доступна в виде отдельного обновления), позволяет скачать с узлов Windows Update и сохранить в SST файл актуальный список корневых сертификатов.

Для генерации SST файла, на компьютере Windows 10/11 с доступом в Интернет, выполните с правами администратора команду:

certutil.exe -generateSSTFromWU c:\PS\roots.sst

Updated SST file.
CertUtil: -generateSSTFromWU command completed successfully.

В результате в целевом каталоге появится файл SST, содержащий актуальный список сертификатов. Дважды щелкните по нему для открытия. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты.

В указанном каталоге появится файл SST, содержащий актуальный список сертификатов. Данный файл представляет собой контейнер, содержащий доверенные корневые сертификаты. Дважды щелкните по нему.

В открывшейся
mmc
консоли вы можете экспортировать любой из полученных сертификатов. В моем случае, список сертификатов содержал 436 элементов. Естественно, экспортировать сертификаты и устанавливать по одному не рационально.

Для установки всех сертификатов из SST файла и добавления их в список корневых сертификатов компьютера можно воспользоваться командами PowerShell:
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Запустите оснастку certmgr.msc и убедитесь, что все сертификаты были добавлены в хранилище Trusted Root Certification Authority. В нашем примере на Windows 11 количество корневых сертификатов увеличилось с 34 до 438.

Чистая копия Windows после установки содержит в корневом хранилище лишь небольшое количество сертификатов. Если компьютер подключен к интернету, остальные корневые сертификаты будут устанавливаться автоматически (по требованию), если ваше устройство попытается получить доступ к HTTPS сайту/SSL сертификату, в чей цепочке доверия есть отпечаток из CTL Microsoft. Поэтому как правило, нет необходимости добавлять в свое локальное хранилище сразу все сертификаты, доверенные Microsoft.

Список корневых сертификатов в формате STL

Есть еще один способ получения списка сертификатов с сайта Microsoft. Для этого нужно скачать файл http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (обновляется дважды в месяц).С помощью любого архиватора (или проводника Windows) распакуйте содержимое архива authrootstl.cab. Он содержит один файл authroot.stl.

Файл authroot.stl представляет собой контейнер со списком отпечатков (thumbprint) доверенных сертификатов Microsoft в формате Certification Trust List.

Данный файл можно установить в системе с помощью утилиты certutil:

certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"

Root "Trusted Root Certification Authorities"
CTL 0 added to store.
CertUtil: -addstore command completed successfully.

Также вы можете импортировать сертификаты из консоли управления сертификатами (Trust Root CertificationAuthorities –>Certificates -> All Tasks > Import). Укажите путь к вашему STL файлу сертификатами.

После выполнения команды, в консоли управления сертификатами (
certmgr.msc
) в контейнере Trusted Root Certification Authorities (Доверенные корневые сертификаты) появится новый раздел с именем Certificate Trust List (Список доверия сертификатов).

Аналогичным образом можно скачать и установить список с отозванными сертификатами, которые были исключены из программы Root Certificate Program. для этого, скачайте файл disallowedcertstl.cab (http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), распакуйте его и добавьте в раздел Untrusted Certificates командой:

certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl "

Обновление корневых сертификатов в Windows с помощью GPO в изолированных средах

Если у вас возникла задача регулярного обновления корневых сертификатов в изолированном от Интернета домене Active Directory, есть несколько более сложная схема обновления локальных хранилищ сертификатов на компьютерах домена с помощью групповых политик. В изолированных сетях Windows вы можете настроить обновление корневых сертификатов на компьютерах пользователей несколькими способами.

Первый способ предполагает, что вы регулярно вручную скачиваете и копируете в вашу изолированную сеть файл с корневыми сертификатами, полученный так:

certutil.exe –generateSSTFromWU roots.sst

Затем сертификаты из данного файла можно установить через SCCM или PowerShell логон скрипт в GPO:
$sstStore = ( Get-ChildItem -Path \\dc01\SYSVOL\winitpro.ru\rootcert\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Второй способ предполагает получение актуальных корневых сертификатов с помощью команды:

Certutil -syncWithWU -f \\dc01\SYSVOL\winitpro.ru\rootcert\

В указанном сетевом каталоге появится ряд файлов корневых сертификатов (CRT) и в том числе файлы (authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt).

Затем с помощью GPP нужно изменить значение параметра реестра RootDirURL в ветке HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate. Этот параметр должен указывать на сетевую папку, из которой клиентам нужно получать новые корневые сертификаты. Перейдите в секцию редактора GPO Computer Configuration -> Preferences -> Windows Settings -> Registry. И создайте новый параметр реестра со значениями:

Action: Update
Hive: HKLM
Key path: Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
Value name: RootDirURL
Type: REG_SZ
Value data: file://\\dc01\SYSVOL\winitpro.ru\rootcert\

Осталось назначить эту политику на компьютеры и после обновления настроек GPO на клиенте проверить появление новых корневых сертификатов в хранилище.

Политика Turn off Automatic Root Certificates Update в разделе Computer Configuration -> Administrative Templates -> System -> Internet Communication Management -> Internet Communication settings должна быть выключена или не настроена.

Обновление корневых сертификатов в Windows 7

Несмотря на то, что Windows 7 уже снята с поддержки, есть много пользователей и компаний, в которых она еще используется.

После установки чистой Windows 7 из образа вы может столкнуться, что многие современные программы и инструменты на ней не работают из-за того, что они подписаны с помощью новых сертификатов. В частности, были жалобы, что в Windows 7 64 без обновления сертификатов не удается установить .Net Framework 4.8. или

vs_Community.exe с ошибкой:

installer manifest failed signature validation

Чтобы обновить корневые сертификаты в Windows 7, нужно скачать и установить MSU обновление KB2813430 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in-windows-0c51c702-fdcc-f6be-7089-4585fad729d6).

После этого вы можете использовать утилиту certutil для генерации SST файла с сертификатами (на этом или на другом компьютере):

certutil.exe -generateSSTFromWU c:\ps\roots.sst

Теперь можно импортировать сертификаты в доверенные:

MMC -> add snap-in -> certificates -> computer account > local computer. Перейдите в раздел Trusted root certification authority, выберите All Tasks -> Import, найдите ваш SST файл (в типе файлов выберите Microsoft Serialized Certificate Store — *.sst) -> Open -> Place all certificates in the following store -> Trusted Root Certification Authorities

Утилита rootsupd.exe для обновления сертификатов в Windows XP

В Windows XP для обновления корневых сертификатов использовалась утилита rootsupd.exe. В этой утилита содержится список корневых и отозванных сертификатов, зашитых в которой регулярно обновлялся. Сама утилита распространялась в виде отдельного обновления KB931125 (Update for Root Certificates).

1. Скачайте утилиту rootsupd.exe, перейдя по ссылке (по состоянию на 15.07.2019 ссылка не работает, возможно в Microsoft решили убрать ее из общего доступа. На данный момент вы можете скачать утилиту с сайта kaspersky.com — http://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip);
2. Для установки корневых сертификатов Windows, достаточно запустить файл rootsupd.exe. Но мы попробуем более внимательно рассмотреть его содержимое, распаковав его с помощью команды:
   rootsupd.exe /c /t:C:\PS\rootsupd
   
3. Сертификаты содержатся в SST файлах: authroots.sst, delroot.sst и т.п. Для удаления/установки сертификатов можно воспользоваться командами:
   updroots.exe authroots.sst
updroots.exe -d delroots.sst

Но, как вы видите, дата создания этих файлов 4 апреля 2013 (почти за год до окончания официальной поддержки Windows XP). Таким образом, с этого времени утилита не обновлялась и не может быть использована для установки актуальных сертификатов. Однако нам чуть позже понадобится файл updroots.exe.

Была информация, что утилиту updroots.exe нежелательно использовать в современных билдах Windows 10 1803+, т.к. она может сломать корневой сертификат Microsoft Root Certificate Authority.

В этой статье мы рассмотрели несколько способов обновления корневых сертификатов на компьютерах Windows, изолированных от Интернета.

Проблема корневых сертификатов стала актуальна для Windows XP, 2003 Server, 7, 2008 Server после окончания их поддержки. И если с отсутствием свежих обновлений можно смириться, то из-за не обновлённого хранилища сертификатов перестают нормально отображаться сайты и перестают работать онлайн инсталляторы.

Вариант 1:

Update and Revoked Roots. Инструмент для обновления корневых сертификатов. UpdRoots загружает сертификаты с сервера Microsoft и выводит реальную дату изменения загруженных файлов, тем самым можно определить, насколько свежий тот или иной сертификат.
Для обновления офлайн, разместите рядом с UpdRoots все пять групп сертификатов/файлов SST, при наличии доступа в интернет, офлайн обновление не работает.
Для тихого обновления предусмотрен ключ командной строки /S.

Скачать UpdRoots.zip

Вариант 2: 

Скачивание и обновление корневых сертификатов:

Ключи установки:

CertUpdater.exe -aie -gm2 -fm0 — скачивание корневых сертификатов из Windows Update в папку MyRoots, создаётся автоматически рядом с CertUpdater.exe.
CertUpdater.exe -aii -gm2 -fm0 — импорт корневых сертификатов из папки MyRoots в систему.
CertUpdater.exe -aim -gm2 -fm0 — вызов системного менеджера сертификатов.
CertUpdater.exe -air -gm2 -fm0 — импорт корневых сертификатов из пакета корневых сертификатов CertUpdater в систему.
CertUpdater.exe -aiu -gm2 -fm0 — обновление пакета корневых сертификатов CertUpdater.
CertUpdater.exe -h — вызов справки.

Скачать CertUpdater.zip

Вариант 3: Обновление корневых сертификатов выполняет UpdatePack7R2 для обновления Windows 7 SP1 и Server 2008 R2 SP1 от simplix-а: http://forum.oszone.net/thread-257198.html

Скачать UpdatePack7R2+.zip

Вариант 4: Обновление корневых сертификатов выполняет набор обновлений «DrWindows» для Windows 7

Описание и обсуждение на русском языке: http://forum.oszone.net/thread-351049.html

Текст автора набора обновлений: https://www.drwindows.de/xf/threads/windows-7-update-pack-by-drwindows-september-2022.15232/

Скачать Windows 7 Update-Pack by DrWindows September 2022 — 64 Bit

Вариант 5: Обновление корневых сертификатов при помощи RootCertUpdater 

Данный обновлятор представляет собой 7z SFX архив со следующим конфигом:

;!@Install@!UTF-8!
Title=»Обновлятор корневых сертификатов»
BeginPrompt=»Обновить хранилище сертификатов?»
RunProgram=»updroots \»%%T\\authroots.sst\»»
RunProgram=»updroots \»%%T\\updroots.sst\»»
RunProgram=»updroots -l \»%%T\\roots.sst\»»
RunProgram=»updroots -d \»%%T\\delroots.sst\»»
RunProgram=»updroots -l -u \»%%T\\disallowedcert.sst\»»
GUIFlags=»2+4+8+16+32+2048″
MiscFlags=»4″
GUIMode=»1″
FinishMessage=»Обновление выполнено!»
;!@InstallEnd@!

и содержит актуальные на дату публикации файлы authroots.sst, delroots.sst, roots.sst, updroots.sst и disallowedcert.sst

Вы можете самостоятельно обновлять обновлятор) открыв его в архиваторе 7-Zip и перетянув в него более свежие sst-файлы:

http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst
http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcert.sst

Скачать RootCertUpdater.zip 

Вариант 6: RootsUpdSetup для Windows XP

Сделано сразу в виде SVCPACK-аддона для Windows XP, упаковано в WinRAR SFX. Никаких ключей установки не требуется, всё максимально просто: есть интернет: *.sst-файлы обновляются и устанавливаются; нет интернета — ставится то, что есть в архиве.

RootsUpdSetup_win_xp.exe

Вариант 7: Обновление корневых сертификатов при помощи UpdRootsCert
Принцип работы: если есть интернет — то скачиваются и устанавливаются последние сертификаты,
если нет — то установятся сертификаты из набора. 

Скачать UpdRootsCert.zip 

Root Certificate Updater

Update root certificates (and disallowed certificates) on Windows.

This repo contains two options to update root certificates. Each option performs the same procedure.

If you’re not sure which option to choose, use the GUI (the first option) as it’s the easiest.

No changes are made to any settings, this only updates the root certificates. Windows Update is NOT required for this to work.

Option 1: GUI

GUI application for updating root certificates. One click, done.

Screenshot

Option 2: PowerShell Script

Update root certificates using a PowerShell script.

Installation

You can either download the PS1 script from here, or install using…

Install-Script UpdateRootCertificates

This script is published on PowerShell Gallery.

The code is signed, so if you want to change it, just removed the # SIG # Begin signature block line and everything beneath it.

Usage

Command	Description
UpdateRootCertificates	Normal run
UpdateRootCertificates -Force	Skip the 10 second wait before continuing execution

Screenshot

Downloads

Download the latest version from the releases page or from asher.tools.

Password to the zip file is password.

Password enabled due to false positive detections by AV.

Other Notes

The CMD version has been replaced by the PowerShell script.