Configurar raíces de confianza y certificados no permitidos

 

Se aplica a: Windows 8.1, Windows Server 2012 R2

Los sistemas operativos R2 de Windows 2012 Server, Windows Server 2012, Windows 8.1 y Windows 8 incluyen un mecanismo de actualización automática que descarga listas de certificados de confianza (CTL) todos los días. En R2 de Windows 2012 Server y Windows 8.1, hay capacidades adicionales disponibles para controlar cómo se actualizan las CTL.

System_CAPS_ICON_important.jpg Importante


Las actualizaciones de software están disponibles para Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 y Windows Vista. Para introducir las mejoras del mecanismo de actualización automática que se mencionan en este documento, aplique las siguientes actualizaciones:

  • Para Windows Server 2008 R2, Windows Server 2008, Windows 7 o Windows Vista, aplique la actualización apropiada indicada en el documento 2677070 en Microsoft Knowledge Base.
  • Para Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 o Windows Vista, aplique la actualización apropiada indicada en el documento 2813430 en Microsoft Knowledge Base.

El Programa de certificados raíz de Microsoft permite la distribución de certificados raíz de confianza dentro de sistemas operativos Windows. Para obtener más información sobre la lista de miembros del Programa de certificados raíz de Windows, consulte Programa de certificados raíz de Windows - Lista de miembros (todas las CA).

Los certificados raíz de confianza están diseñados para colocarse en el certificado de las Entidades de certificación raíz de confianza de los sistemas operativos Windows. Dichos certificados son de confianza para el sistema operativo, y las aplicaciones pueden utilizarlos como referencia para saber qué jerarquías de infraestructura de clave pública (PKI) y qué certificados digitales son de confianza. Existen dos métodos para distribuir los certificados raíz de confianza:

  1. Automático: la lista de certificados raíz de confianza se almacena en una CTL. Los equipos de los clientes acceden al sitio de Windows Update utilizando el mecanismo de actualización automática para actualizar esta CTL.

    System_CAPS_ICON_note.jpg Nota


    La lista de certificados raíz de confianza se llama la CTL de confianza.

  2. Manual: la lista de certificados raíz de confianza está disponible como un paquete IEXPRESS autoextraíble en el Centro de descarga de Microsoft, en Windows Catalog o mediante los Windows Server Update Services (WSUS). Los paquetes IEXPRESS se publican al mismo tiempo que la CTL de confianza.

System_CAPS_ICON_note.jpg Nota


Para obtener más información sobre estos métodos de actualización, consulte el documento 931125 en Microsoft Knowledge Base.

Los certificados que no son de confianza son aquellos que se sabe públicamente que son fraudulentos. Al igual que en el caso de la CTL de confianza, existen dos mecanismos para distribuir una lista de certificados que no son de confianza:

  1. Automático: la lista de certificados que no son de confianza se almacena en una CTL. Los equipos de los clientes acceden al sitio de Windows Update utilizando el mecanismo de actualización automática para actualizar esta CTL.

    System_CAPS_ICON_note.jpg Nota


    La lista de certificados que no son de confianza se llama la CTL de no confianza. Para obtener más información, consulte Anunciar el actualizador automático de claves y certificados de poca confianza.

  2. Manual: la lista de certificados que no son de confianza está disponible como un paquete IEXPRESS autoextraíble en una actualización de seguridad recomendada de Windows Update.

Antes de R2 de Windows 2012 Server y Windows 8.1 (o de la instalación de la actualización de software, como ya se ha comentado), la misma configuración del Registro controlaba las actualizaciones de los certificados raíz de confianza y de los certificados que no son de confianza. Un administrador no podía habilitar o deshabilitar de forma selectiva unas u otras. Esto conllevaba los siguientes desafíos:

  • Si la organización se encontraba en un entorno desconectado, el único método para actualizar las CTL consistía en utilizar paquetes IEXPRESS.

    System_CAPS_ICON_note.jpg Nota


    Una red cuyos equipos no pueden obtener acceso al sitio de Windows Update se considera en este documento un entorno desconectado.

    El método de actualización con IEXPRESS es básicamente un proceso manual. Además, el paquete IEXPRESS podría no estar disponible de inmediato en el momento de publicarse la CTL, por lo que podría transcurrir un intervalo de tiempo hasta que se instalasen las actualizaciones siguiendo este método.

  • Aunque se les recomienda deshabilitar las actualizaciones automáticas para las CTL de confianza a los administradores que gestionan sus listas de certificados raíz de confianza (en entornos conectados o desconectados), no se recomienda deshabilitar las actualizaciones automáticas para las CTL de no confianza.

    Para obtener más información, consulte Controlar la característica de Actualizar certificados raíz para evitar el flujo de información desde y hacia Internet.

  • Dado que no existía un método para que los administradores de redes viesen y extrajesen solo los certificados raíz de confianza de una CTL de confianza, la administración de una lista personalizada de certificados de confianza era una tarea difícil.

Los siguientes mecanismos de actualización automática mejorados para un entorno desconectado están disponibles en R2 de Windows 2012 Server y Windows 8.1 o cuando se instala la actualización de software apropiada:

  • Configuración del Registro para almacenar CTL La nueva configuración permite cambiar la ubicación para cargar las CTL de confianza o de no confianza desde el sitio de Windows Update a una ubicación compartida en una organización. Para obtener más información, consulte la sección Configuración del Registro modificada.

  • Opciones de sincronización Si la dirección URL para el sitio de Windows Update se mueve a una carpeta compartida local, dicha carpeta debe estar sincronizada con la carpeta de Windows Update. Esta actualización de software agrega un conjunto de opciones en la herramienta Certutil que los administradores pueden utilizar para habilitar la sincronización. Para obtener más información, consulte la sección Nuevas opciones de Certutil.

  • Herramienta para seleccionar certificados raíz de confianza Esta actualización de software incorpora una herramienta para los administradores que gestionan el conjunto de certificados raíz de confianza de un entorno empresarial. Los administradores pueden ver y seleccionar el conjunto de certificados raíz de confianza, exportarlos a un almacén de certificados en serie y distribuirlos utilizando la directiva de grupo. Para obtener más información, consulte la sección Nuevas opciones de Certutil de este documento.

  • Configurabilidad independiente El mecanismo de actualización automática para los certificados de confianza y de los que no son de confianza puede configurarse de forma independiente. Esto permite a los administradores utilizar el mecanismo de actualización automática para descargar únicamente las CTL de no confianza y gestionar su propia lista de CTL de confianza. Para obtener más información, consulte la sección Configuración del Registro modificada de este documento.

En R2 de Windows 2012 Server y Windows 8.1 (o al instalar las actualizaciones de software antes mencionadas en los sistemas operativos compatibles), un administrador puede configurar un servidor web o de archivos para descargar los siguientes archivos mediante el mecanismo de actualización automática:

  • authrootstl.cab, que contiene un CTL que no es de Microsoft

  • disallowedcertstl.cab, que contiene un CTL con certificados que no son de confianza

  • disallowedcert.sst, que contiene un almacén de certificados en serie, el cual incluye certificados que no son de confianza

  • thumbprint.crt, que contiene certificados raíz que no son de Microsoft

En la sección Configurar un servidor web o de archivos para descargar los archivos CTL de este documento se describen los pasos necesarios para realizar esta configuración.

Al utilizar R2 de Windows 2012 Server y Windows 8.1 (o al instalar las actualizaciones de software antes mencionadas en los sistemas operativos compatibles), un administrador puede:

System_CAPS_ICON_important.jpg Importante

  • Para todos los pasos mostrados en este documento, es necesario usar una cuenta que forme parte del grupo Administrators local. Para todos los pasos de configuración de los Servicios de dominio de Active Directory (AD DS), es necesario usar una cuenta que forme parte del grupo Domain Admins o que tenga delegados los permisos necesarios.

  • Los procedimientos de este documento dependen de tener al menos un equipo capaz de conectarse a Internet para descargar CTL desde Microsoft. El equipo requiere acceso a HTTP (puerto TCP 80) y capacidad de resolución de nombres (puerto TCP y UDP 53) para contactar con ctldl.windowsupdate.com. Este equipo puede ser un miembro de dominio o un miembro de un grupo de trabajo. Actualmente, todos los archivos descargados requieren aproximadamente 1,5 MB de espacio.

  • La configuración descrita en este documento se implementa utilizando objetos de directiva de grupo (GPO). Dicha configuración no se elimina automáticamente si el GPO se desvincula o se elimina del dominio AD DS. Una vez implementada, esta configuración solo puede cambiarse utilizando un GPO o modificando el registro de los equipos afectados.

  • Los conceptos tratados en este documento son independientes de Windows Server Update Services (WSUS).

    • No hace falta utilizar WSUS para implementar la configuración comentada en este documento.
    • Sin embargo, si utiliza WSUS, estas instrucciones no afectarán a su funcionalidad.
    • La implementación de WSUS no reemplaza la implementación de la configuración mencionada en este documento.

Para facilitar la distribución de certificados de confianza o que no son de confianza en un entorno desconectado, primero debe configurar un servidor web o de archivos para descargar los archivos CTL desde el mecanismo de actualización automática.

System_CAPS_ICON_tip.jpg Sugerencia


La configuración descrita en esta sección no es necesaria para los entornos en los cuales los equipos pueden conectarse directamente al sitio de Windows Update. Los equipos con conexión al sitio de Windows Update pueden recibir CTL actualizadas todos los días (si ejecutan Windows Server 2012 o Windows 8, o si las actualizaciones de software antes mencionadas están instaladas en sistemas operativos compatibles). Para obtener más información, consulte el documento 2677070 en Microsoft Knowledge Base.

Para configurar un servidor con acceso a Internet para recuperar los archivos CTL

  1. Cree una carpeta compartida en un servidor web o de archivos que pueda sincronizarse utilizando el mecanismo de actualización automática y que desee utilizar para almacenar los archivos CTL.

    System_CAPS_ICON_tip.jpg Sugerencia


    Antes de empezar, podría tener que ajustar los permisos de la carpeta compartida y los permisos de la carpeta NTFS para permitir el acceso adecuado a la cuenta, sobre todo si está utilizando una tarea programada con una cuenta de servicio. Para obtener más información sobre el ajuste de permisos, consulte Administración de permisos para carpetas compartidas.

  2. Desde un símbolo del sistema con privilegios elevados, ejecute el siguiente comando:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    Sustituya el nombre del servidor real por <servidor> y el nombre de la carpeta compartida por <compartida>. Por ejemplo, si ejecuta este comando en un servidor llamado Server1 con una carpeta compartida llamada CTL, ejecutaría este comando:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. Descargue los archivos CTL en un servidor al que puedan obtener acceso los equipos de un entorno desconectado a través de la red usando una ruta de acceso FILE (por ejemplo, FILE://\\Server1\CTL) o una ruta de acceso HTTP (por ejemplo, HTTP://Server1/CTL).

System_CAPS_ICON_note.jpg Nota

  • Si el servidor que sincroniza las CTL no es accesible desde los ordenadores del entorno desconectado, debe proporcionar otro método para transferir la información. Por ejemplo, puede permitir que uno de los equipos miembros del dominio se conecte al servidor, y después programar otra tarea en el equipo miembro del dominio para que recupere la información en una carpeta compartida en un servidor web interno. Si no existe absolutamente ninguna conexión de red, podría tener que utilizar un proceso manual para transferir los archivos, como un dispositivo de almacenamiento extraíble.
  • Si piensa utilizar un servidor web, debería crear un nuevo directorio virtual para los archivos CTL. Los pasos para crear un directorio virtual utilizando Internet Information Services (IIS) son prácticamente los mismos para todos los sistemas operativos compatibles mencionados en este documento. Para obtener más información, consulte Crear un directorio virtual (ISS7).
  • Tenga en cuenta que a algunas carpetas de aplicaciones y del sistema de Windows se les aplica una protección especial. Por ejemplo, la carpeta inetpub requiere permisos de acceso especiales, lo que dificulta la tarea de crear una carpeta compartida para utilizarla con una tarea programada para transferir archivos. Como administrador, por lo general puede crear una ubicación de carpeta en la raíz de un sistema de unidad lógica con el fin de utilizarla para la transferencia de archivos.

Si los equipos de su red están configurados en un entorno de dominio y son incapaces de utilizar el mecanismo de actualización automática o de descargar CTL, puede implementar un GPO en AD DS para configurar dichos equipos de modo que obtengan las actualizaciones de CTL desde una ubicación alternativa.

System_CAPS_ICON_note.jpg Nota


Para llevar a cabo la configuración indicada en esta sección, tendrá que haber realizado los pasos explicados en Configurar un servidor web o de archivos para descargar los archivos CTL.

Para configurar una plantilla administrativa personalizada para un GPO

  1. En un controlador de dominio, cree una nueva plantilla administrativa. Puede partir de un archivo de texto y después cambiar la extensión del nombre de archivo a .adm. Los contenidos del archivo deben ser los siguientes:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilice un nombre descriptivo para guardar el archivo, como RootDirURL.adm.

    System_CAPS_ICON_tip.jpg Sugerencia

    • Asegúrese de que la extensión del nombre del archivo es .adm, y no .txt.
    • Si todavía no tiene habilitada la visualización de extensiones de nombre de archivo, consulte el artículo How To: View File Name Extensions.
    • Si guarda el archivo en la carpeta %windir%\inf, será más fácil ubicarlo en los siguientes pasos.
  3. Abra el Editor de administración de directivas de grupo.

    • Si utiliza Windows Server 2008 R2 o Windows Server 2008, haga clic en Inicio y después en Ejecutar.

    • Si utiliza R2 de Windows 2012 Server o Windows Server 2012, presione la tecla Windows y la tecla R al mismo tiempo.

    Escriba GPMC.msc y presione ENTRAR.

    System_CAPS_ICON_caution.jpg Precaución


    Puede vincular un nuevo GPO al dominio o a cualquier unidad organizativa (OU). Las modificaciones en el GPO implementadas en este documento alteran la configuración del Registro de los equipos afectados. No puede deshacer dicha configuración eliminando o desvinculando el GPO. La configuración solo puede deshacerse invirtiéndola en la configuración del GPO o modificando el Registro mediante otra técnica.

  4. En la consola de administración de directivas de grupo, expanda el objeto Bosque, expanda el objeto Dominios y, a continuación, expanda el dominio específico que contiene las cuentas del equipo que desea cambiar. Si desea modificar una OU específica, navegue hasta esa ubicación. Haga clic en un GPO existente, o bien haga clic con el botón derecho y después clic en Crear un GPO en este dominio y vincularlo aquí para crear un GPO nuevo. Haga clic con el botón derecho en el GPO que desee modificar y, a continuación, haga clic en Editar.

  5. En el panel de navegación, en Configuración del equipo, expanda Directivas.

  6. Haga clic con el botón derecho en Plantillas administrativas y después haga clic en Agregar o quitar plantillas.

  7. En Agregar o quitar plantillas, haga clic en Agregar. En el cuadro de diálogo Plantillas de directivas, seleccione la plantilla .adm que guardó anteriormente. Haga clic en Abrir y, a continuación, en Cerrar.

  8. En el panel de navegación, expanda Plantillas administrativas y, después, Plantillas administrativas clásicas (ADM).

  9. Haga clic en Windows AutoUpdate Settings y, en el panel de detalles, haga doble clic en URL address to be used instead of default ctldl.windowsupdate.com.

  10. Seleccione Habilitado. En la sección Opciones, introduzca la dirección URL en el servidor web o de archivos que contiene los archivos CTL. Por ejemplo, http://server1/CTL o file://\\server1\CTL. Haga clic en Aceptar. Cierre el Editor de administración de directivas de grupo.

La directiva es efectiva de inmediato, pero los equipos cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


Las CTL de confianza o de no confianza pueden actualizarse a diario, por lo que debe asegurarse de mantener los archivos sincronizados utilizando una tarea programada u otro método (como un script que controle las situaciones de error) para actualizar la carpeta compartida o el directorio virtual web. Para obtener más información sobre cómo crear una tarea programada, consulte Programar una tarea. Si va a escribir una secuencia de comandos para realizar actualizaciones diarias, consulte las secciones Nuevas opciones de Certutil y Posibles errores con Certutil -SyncWithWU de este documento. Estas secciones aportan más información sobre las opciones de comandos y las situaciones de error.

Algunas organizaciones podrían desear que solo se actualizasen automáticamente las CTL de no confianza (no las CTL de confianza). Para conseguirlo, puede crear dos plantillas .adm para agregarlas a la directiva de grupo.

System_CAPS_ICON_important.jpg Importante

  1. En un entorno desconectado, puede utilizar el siguiente procedimiento junto con el procedimiento anterior (redirigir la dirección URL de actualización automática de Microsoft para CTL de confianza y para CTL de no confianza). Este procedimiento explica cómo deshabilitar de forma selectiva la actualización automática de las CTL de confianza.
  2. También puede utilizar dicho procedimiento en un entorno conectado aislado para deshabilitar de forma selectiva la actualización automática de las CTL de confianza.

Para redirigir de forma selectiva solo las CTL de no confianza

  1. En un controlador de dominio, cree la primera plantilla administrativa nueva partiendo de un archivo de texto, y después cambie la extensión del nombre de archivo a .adm. Los contenidos del archivo deben ser los siguientes:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilice un nombre descriptivo para guardar el archivo, como DisableAllowedCTLUpdate.adm.

  3. Cree una segunda plantilla administrativa nueva. Los contenidos del archivo deben ser los siguientes:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Utilice un nombre descriptivo para guardar el archivo, como EnableUntrustedCTLUpdate.adm.

    System_CAPS_ICON_tip.jpg Sugerencia

    • Asegúrese de que las extensiones de los nombres de estos archivos son .adm, y no .txt.
    • Si todavía no tiene habilitada la visualización de extensiones de nombre de archivo, consulte el artículo How To: View File Name Extensions.
    • Si guarda el archivo en la carpeta %windir%\inf, será más fácil ubicarlo en los siguientes pasos.
  5. Abra el Editor de administración de directivas de grupo.

  6. En la consola de administración de directivas de grupo, expanda el objeto Bosque, Dominios y el objeto de dominio específico que desee modificar. Haga clic con el botón derecho en el GPO de la directiva predeterminada de dominio y, a continuación, haga clic en Editar.

  7. En el panel de navegación, en Configuración del equipo, expanda Directivas.

  8. Haga clic con el botón derecho en Plantillas administrativas y después haga clic en Agregar o quitar plantillas.

  9. En Agregar o quitar plantillas, haga clic en Agregar. Utilice el cuadro de diálogo Plantillas de directivas para seleccionar las plantillas .adm que guardó anteriormente. (Puede mantener pulsada la tecla CTRL y hacer clic en cada archivo para seleccionar ambas.) Haga clic en Abrir y, a continuación, en Cerrar.

  10. En el panel de navegación, expanda Plantillas administrativas y, después, Plantillas administrativas clásicas (ADM).

  11. Haga clic en Windows AutoUpdate Settings y, en el panel de detalles, haga doble clic en Actualización de raíz automática.

  12. Seleccione Deshabilitado. Esta configuración impide la actualización automática de las CTL de confianza. Haga clic en Aceptar.

  13. En el panel de detalles, haga doble clic en Untrusted CTL Automatic Update. Seleccione Habilitado. Haga clic en Aceptar.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


Las CTL de confianza o de no confianza pueden actualizarse a diario, por lo que debe asegurarse de mantener los archivos sincronizados utilizando una tarea programada u otro método para actualizar la carpeta compartida o el directorio virtual.

Esta sección describe la manera de producir, revisar y filtrar las CTL de confianza que desea que utilicen los equipos de su organización. Debe implementar los GPO descritos en los procedimientos anteriores para usar esta resolución. Esta resolución está disponible para entornos conectados y desconectados.

Existen dos procedimientos para personalizar la lista de CTL de confianza.

  1. Crear un subconjunto de certificados de confianza

  2. Distribuir los certificados de confianza utilizando la directiva de grupo

Para crear un subconjunto de certificados de confianza

  1. Desde un equipo conectado a Internet, abra Windows PowerShell como administrador o abra un símbolo del sistema con privilegios elevados, y escriba el siguiente comando:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. Puede ejecutar el siguiente comando en el Explorador de Windows para abrir WURoots.sst:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg Sugerencia


    También puede usar Internet Explorer para navegar hasta el archivo y hacer doble clic para abrirlo. En función de dónde ha almacenado el archivo, también podría abrirlo escribiendo wuroots.sst.

  3. En el panel de navegación del Administrador de certificados, expanda la ruta de acceso al archivo en Certificados - Usuario actual hasta ver Certificados, y a continuación haga clic en Certificados.

  4. En el panel de detalles, verá los certificados de confianza. Mantenga pulsada la tecla CTRL y haga clic en cada uno de los certificados que desee permitir. Cuando haya acabado de seleccionar los certificados que desee permitir, haga clic con el botón derecho en uno de los certificados seleccionados, haga clic en Todas las tareas y, a continuación, en Exportar.

    System_CAPS_ICON_important.jpg Importante


    Debe seleccionar como mínimo dos certificados para exportar el tipo de archivo .sst. Si solo selecciona un certificado, el tipo de archivo .sst no estará disponible, y en su lugar se seleccionará el tipo de archivo .cer.

  5. En el Asistente para exportación de certificados, haga clic en Siguiente.

  6. En la página Formato de archivo de exportación, seleccione Almacén de certificados en serie de Microsoft (.SST) y después haga clic en Siguiente.

  7. En la página Archivo que se va a exportar, introduzca una ruta de acceso al archivo y un nombre apropiado para el archivo, como C:\AllowedCerts.sst, y después haga clic en Siguiente. Haga clic en Finalizar. Cuando se le notifique que la exportación se ha realizado correctamente, haga clic en Aceptar.

  8. Copie el archivo .sst que ha creado en un controlador de dominio.

Para distribuir la lista de certificados de confianza utilizando la directiva de grupo

  1. En el controlador de dominio que tiene el archivo .sst personalizado, abra el Editor de administración de directivas de grupo.

  2. En la consola de administración de directivas de grupo, expanda el objeto Bosque, Dominios y el objeto de dominio específico que desee modificar. Haga clic con el botón derecho en el GPO de la directiva predeterminada de dominio y, a continuación, haga clic en Editar.

  3. En el panel de navegación, en Configuración del equipo, expanda Directivas, expanda Configuración de Windows, expanda Configuración de seguridad y, por último, expanda Directivas de clave pública.

  4. Haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a continuación, haga clic en Importar.

  5. En el Asistente para importar certificados, haga clic en Siguiente.

  6. Introduzca la ruta de acceso y el nombre del archivo que copió en el controlador de dominio, o utilice el botón Examinar para ubicar el archivo. Haga clic en Siguiente.

  7. Confirme que desea colocar esos certificados en el almacén de certificados de las Entidades de certificación raíz de confianza haciendo clic en Siguiente. Haga clic en Finalizar. Cuando se le notifique que la importación de los certificados se ha realizado correctamente, haga clic en Aceptar.

  8. Cierre el Editor de administración de directivas de grupo.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

La configuración descrita en este documento configura las siguientes claves de Registro en los equipos de los clientes. Dicha configuración no se elimina automáticamente si el GPO se desvincula o se elimina del dominio. Esta configuración debe reconfigurarse específicamente si desea cambiarla.

Claves del RegistroValor y descripción
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateUn valor de 1 deshabilita la actualización automática de Windows de la CTL de confianza.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateUn valor de 1 habilita la actualización automática de Windows de la CTL de no confianza.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlConfigura la ubicación compartida (la ruta de acceso HTTP o FILE).

Se han agregado las siguientes opciones a Certutil:

SintaxisDescripciónEjemplo
CertUtil [Opciones] -syncWithWU DestinationDirSincronización con Windows Update.

 
  • DestinationDir es la carpeta que recibe los archivos utilizando el mecanismo de actualización automática.
  • Los siguientes archivos se descargan mediante el mecanismo de actualización automática:

     
    • authrootstl.cab contiene las CTL de certificados raíz que no son de Microsoft.
    • disallowedcertstl.cab contiene las CTL de certificados de no confianza.
    • disallowedcert.sst contiene el almacén de certificados en serie, el cual incluye certificados que no son de confianza.
    • <thumbprint>.crt contiene certificados raíz que no son de Microsoft.
CertUtil -syncWithWU \\server1\PKI\CTLs
CertUtil [Opciones] -generateSSTFromWU SSTFileGeneración de SST utilizando el mecanismo de actualización automática.

SSTFile: archivo .sst que debe crearse. El archivo .sst generado contiene los certificados raíz que no son de Microsoft descargados mediante el mecanismo de actualización automática.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg Sugerencia


Certutil -SyncWithWU -f <folder> actualiza los archivos existentes en la carpeta de destino.

Certutil -syncWithWU -f -f <folder> elimina y reemplaza los archivos de la carpeta de destino.

Puede encontrarse con los siguientes errores y advertencias al ejecutar el comando Certutil -syncWithWU:

  • Si utiliza como carpeta de destino una carpeta o una ruta de acceso local que no existen, verá el siguiente error:

    El sistema no puede encontrar el archivo especificado. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Si utiliza como carpeta de destino una ubicación de red que no existe o no está disponible, verá el siguiente error:

    No se puede encontrar el nombre de red. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Si su servidor no puede conectarse a través del puerto TCP 80 a los servidores de actualización automática de Microsoft, se le notificará el siguiente error:

    No se pudo establecer una conexión con el servidor 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Si su servidor no puede obtener acceso a los servidores de actualización automática de Microsoft con el nombre DNS ctldl.windowsupdate.com, se le notificará el siguiente error:

    No se pudo resolver el nombre o la dirección del servidor 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Si no utiliza el conmutador -f, y si alguno de los archivos CTL ya existe en el directorio, el error le notificará que ya existe un archivo:

    CertUtil: -syncWithWU comando FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: No se puede crear un archivo si dicho archivo ya existe.

  • Si se produce un cambio en los certificados raíz de confianza, se le notificará: "Advertencia: se han encontrado las siguientes raíces que ya no son de confianza: <ruta de acceso de carpeta>\<thumbprint>.crt. Utilice las opciones "-f -f" para forzar la eliminación de los anteriores archivos ".crt". ¿Se ha actualizado "authrootstl.cab"? En caso afirmativo, aplace la eliminación hasta que todos los clientes se hayan actualizado."

Mostrar: