Configurer des racines de confiance et des certificats non autorisés

 

S’applique à : Windows 8.1, Windows Server 2012 R2

Les systèmes d’exploitation R2 Windows Server 2012, Windows Server 2012, Windows 8.1 et Windows 8 incluent un mécanisme de mise à jour automatique qui télécharge les listes de certificats de confiance (CTL) tous les jours. Dans R2 Windows Server 2012 et Windows 8.1, des fonctionnalités supplémentaires sont disponibles pour contrôler la mise à jour des listes CTL.

System_CAPS_ICON_important.jpg Important


Les mises à jour logicielles sont disponibles pour Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 et Windows Vista. Pour offrir les améliorations du mécanisme de mise à jour automatique qui sont abordées dans ce document, appliquez les mises à jour suivantes :

  • Pour Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista, appliquez la mise à jour appropriée répertoriée dans le document 2677070 de la Base de connaissances Microsoft.
  • Pour Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 ou Windows Vista, appliquez la mise à jour appropriée répertoriée dans le document 2813430 de la Base de connaissances Microsoft.

Le programme de certificat racine Microsoft permet la distribution de certificats racines de confiance dans les systèmes d’exploitation Windows. Pour plus d’informations sur la liste des membres du programme de certificat racine Windows, voir Programme de certificat racine Windows, liste des membres (toutes les autorités de certification).

Les certificats racines de confiance doivent être placés dans le certificat Autorités de certification racines de confiance des systèmes d’exploitation Windows. Ces certificats sont approuvés par le système d’exploitation et peuvent être utilisés comme références par les applications dont les hiérarchies d’infrastructure à clé publique (PKI) et les certificats numériques sont dignes de confiance. Il existe deux moyens de distribuer des certificats racines de confiance :

  1. Automatique : la liste des certificats racines de confiance est stockée dans une liste CTL. Les ordinateurs clients accèdent au site Windows Update à l’aide du mécanisme de mise à jour automatique pour mettre à jour cette liste CTL.

    System_CAPS_ICON_note.jpg Remarque


    La liste des certificats racines de confiance est appelée liste CTL de confiance.

  2. Manuel : la liste des certificats racines de confiance est disponible en tant que package IEXPRESS à extraction automatique dans le Centre de téléchargement Microsoft, le catalogue Windows ou à l’aide de WSUS (Windows Server Update Services). Les packages IEXPRESS sont fournis en même temps que la liste CTL de confiance.

System_CAPS_ICON_note.jpg Remarque


Pour plus d’informations sur ces méthodes de mise à jour, consultez le document 931125 dans la Base de connaissances Microsoft.

Les certificats non autorisés sont des certificats connus comme étant frauduleux. Comme pour la liste CTL de confiance, deux mécanismes sont utilisés pour distribuer une liste de certificats non autorisés :

  1. Automatique : la liste des certificats non autorisés est stockée dans une liste CTL. Les ordinateurs clients accèdent au site Windows Update à l’aide du mécanisme de mise à jour automatique pour mettre à jour cette liste CTL.

    System_CAPS_ICON_note.jpg Remarque


    Une liste de certificats non autorisés est appelée liste CTL non approuvée. Pour plus d’informations, consultez Annonce du programme de mise à jour automatisé des certificats et clés non fiables.

  2. Manuel : la liste des certificats non autorisés est fournie en tant que package IEXPRESS à extraction automatique dans une mise à jour Windows de sécurité obligatoire.

Avant R2 Windows Server 2012 et Windows 8.1 (ou l’installation de la mise à jour logicielle, comme décrit précédemment), le même paramètre de Registre contrôlait les mises à jour pour les certificats racines de confiance et certificats non autorisés. Un administrateur ne pouvait activer ni désactiver de manière sélective aucune de ces mises à jour. Cela aboutissait aux défis suivants :

  • Si l’organisation se trouvait dans un environnement déconnecté, le seul moyen de mettre à jour les listes CTL consistait à utiliser les packages IEXPRESS.

    System_CAPS_ICON_note.jpg Remarque


    Un réseau d’ordinateurs dans lequel les ordinateurs n’ont pas la possibilité d’accéder au site Windows Update est considéré comme un environnement déconnecté dans ce document.

    La méthode de mise à jour IEXPRESS est principalement un processus manuel. En outre, comme il peut arriver que le package IEXPRESS ne soit pas immédiatement disponible lorsque la liste CTL est fournie, envisagez un éventuel délai supplémentaire pour l’installation de ces mises à jour lors de l’utilisation de cette méthode.

  • Même si la désactivation des mises à jour automatiques pour les listes CTL de confiance est recommandée pour les administrateurs qui gèrent leurs listes de certificats racines de confiance (dans les environnements déconnectés ou connectés), la désactivation des mises à jour automatiques des listes CTL non approuvées est déconseillée.

    Pour plus d’informations, consultez Contrôle de la fonctionnalité Mettre les certificats racine à jour pour empêcher le flux d’informations à destination et en provenance d’Internet.

  • En l’absence de méthode permettant aux administrateurs réseau d’afficher et d’extraire uniquement les certificats racines de confiance dans une liste CTL de confiance, la gestion d’une liste personnalisée de certificats de confiance était une tâche difficile.

Les mécanismes de mise à jour automatique améliorés suivants pour un environnement déconnecté sont disponibles dans R2 Windows Server 2012 et Windows 8.1, ou lorsque la mise à jour logicielle appropriée est installée :

  • Paramètres de Registre pour le stockage des listes CTL De nouveaux paramètres permettent de remplacer l’emplacement du chargement des listes CTL de confiance ou non approuvées du site Windows Update par un emplacement partagé dans une organisation. Pour plus d’informations, consultez la section Paramètres de Registre modifiés.

  • Options de synchronisation Si l’URL du site Windows Update est déplacée vers un dossier partagé local, celui-ci doit être synchronisé avec le dossier Windows Update. Cette mise à jour logicielle ajoute un ensemble d’options à l’outil Certutil que les administrateurs peuvent utiliser pour activer la synchronisation. Pour plus d’informations, consultez la section Nouvelles options de l’outil Certutil.

  • Outil pour sélectionner les certificats racines de confiance Cette mise à jour logicielle propose un outil pour les administrateurs qui gèrent l’ensemble des certificats racines de confiance dans leur environnement d’entreprise. Les administrateurs peuvent afficher et sélectionner l’ensemble des certificats racines de confiance, les exporter vers un magasin de certificats sérialisés et les distribuer à l’aide de la stratégie de groupe. Pour plus d’informations, consultez la section Nouvelles options de l’outil Certutil de ce document.

  • Configurabilité indépendante Le mécanisme de mise à jour automatique pour les certificats de confiance et non autorisés est configurable de façon indépendante. Cela permet aux administrateurs d’utiliser le mécanisme de mise à jour automatique pour télécharger uniquement les listes CTL non approuvées et gérer leurs propres listes CTL de confiance. Pour plus d’informations, consultez la section Paramètres de Registre modifiés de ce document.

Dans R2 Windows Server 2012 et Windows 8.1 (ou en installant les mises à jour logicielles précédemment mentionnées sur les systèmes d’exploitation pris en charge), un administrateur peut configurer un serveur de fichiers ou Web pour télécharger les fichiers suivants à l’aide du mécanisme de mise à jour automatique :

  • authrootstl.cab, qui contient une liste CTL non-Microsoft

  • disallowedcertstl.cab, qui contient une liste CTL avec des certificats non autorisés

  • disallowedcert.sst, qui contient un magasin de certificats sérialisés, y compris des certificats non autorisés

  • thumbprint.crt, qui contient des certificats racines non-Microsoft

Les étapes pour effectuer cette configuration sont décrites dans la section Configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL de ce document.

En utilisant R2 Windows Server 2012 et Windows 8.1 (ou en installant les mises à jour logicielles précédemment mentionnées sur les systèmes d’exploitation pris en charge), un administrateur peut :

System_CAPS_ICON_important.jpg Important

  • Toutes les procédures décrites dans ce document nécessitent que vous utilisiez un compte membre du groupe Administrators local. Pour toutes les étapes de configuration des services de domaine Active Directory (AD DS), vous devez utiliser un compte qui est membre du groupe Domain Admins ou auquel les autorisations nécessaires ont été déléguées.

  • Vous pourrez effectuer les procédures de ce document uniquement si vous disposez d’au moins un ordinateur capable de se connecter à Internet pour télécharger les listes CTL de Microsoft. L’ordinateur requiert un accès HTTP (port TCP 80) et la fonction de résolution de noms (TCP et port UDP 53) pour contacter ctldl.windowsupdate.com. Cet ordinateur peut être un membre de domaine ou un membre d’un groupe de travail. Actuellement, tous les fichiers téléchargés nécessitent environ 1,5 Mo d’espace.

  • Les paramètres décrits dans ce document sont implémentés à l’aide d’objets de stratégie de groupe. Ces paramètres ne sont pas automatiquement supprimés si l’objet de stratégie de groupe n’est pas lié au domaine AD DS ou est supprimé de celui-ci. Une fois implémentés, ces paramètres peuvent être modifiés uniquement à l’aide d’un objet de stratégie de groupe ou en modifiant le Registre des ordinateurs concernés.

  • Les concepts abordés dans ce document sont indépendants de WSUS (Windows Server Update Services).

    • Vous n’avez pas à utiliser WSUS pour implémenter la configuration décrite dans ce document.
    • Si vous utilisez WSUS, ces instructions n’affectent pas sa fonctionnalité.
    • L’implémentation de WSUS ne remplace pas l’implémentation des configurations abordées dans ce document.

Pour faciliter la distribution des certificats de confiance ou non autorisés pour un environnement déconnecté, vous devez d’abord configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL à partir du mécanisme de mise à jour automatique.

System_CAPS_ICON_tip.jpg Astuce


La configuration décrite dans cette section n’est pas nécessaire pour les environnements dans lesquels les ordinateurs sont en mesure de se connecter directement au site Windows Update. Les ordinateurs qui peuvent se connecter au site Windows Update sont capables de recevoir des listes CTL mises à jour quotidiennement (s’ils exécutent Windows Server 2012, Windows 8 ou les mises à jour logicielles précédemment mentionnées installées sur les systèmes d’exploitation pris en charge). Pour plus d’informations, consultez le document 2677070 dans la Base de connaissances Microsoft.

Pour configurer un serveur qui a accès à Internet pour récupérer les fichiers CTL

  1. Créez un dossier partagé sur un serveur de fichiers ou Web qui peut lancer la synchronisation à l’aide du mécanisme de mise à jour automatique et que vous voulez utiliser pour stocker les fichiers CTL.

    System_CAPS_ICON_tip.jpg Astuce


    Avant de commencer, il est possible que vous deviez adapter les autorisations de dossier partagé et de dossier NTFS pour permettre l’accès au compte approprié, en particulier si vous utilisez une tâche planifiée avec un compte de service. Pour plus d’informations sur l’adaptation des autorisations, consultez Gestion des autorisations pour des dossiers partagés.

  2. À partir d’une invite de commandes avec élévation de privilèges, exécutez la commande suivante :

    Certutil -syncWithWU \\<server>\<share>  
    
    

    Remplacez <server> par le nom de serveur réel et <share> par le nom de dossier partagé. Par exemple, si vous exécutez cette commande pour un serveur nommé Server1 avec un dossier partagé nommé CTL, vous exécutez la commande :

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. Téléchargez les fichiers CTL sur un serveur auquel les ordinateurs d’un environnement déconnecté peuvent accéder sur le réseau à l’aide d’un chemin d’accès FILE (par exemple, FILE://\\Server1\CTL) ou d’un chemin d’accès HTTP (par exemple, HTTP://Server1/CTL).

System_CAPS_ICON_note.jpg Remarque

  • Si le serveur qui synchronise les listes CTL n’est pas accessible à partir des ordinateurs dans l’environnement déconnecté, vous devez fournir une autre méthode de transfert des informations. Par exemple, vous pouvez permettre à l’un des ordinateurs membres du domaine de se connecter au serveur, puis planifier une autre tâche sur l’ordinateur membre du domaine pour extraire les informations dans un dossier partagé ou sur un serveur Web interne. En l’absence de connexion réseau, il est possible que vous deviez utiliser un processus manuel pour transférer les fichiers, par exemple un périphérique de stockage amovible.
  • Si vous envisagez d’utiliser un serveur Web, vous devez créer un répertoire virtuel pour les fichiers CTL. Les étapes permettant de créer un répertoire virtuel à l’aide des services Internet (IIS) sont presque les mêmes pour tous les systèmes d’exploitation pris en charge abordés dans ce document. Pour plus d’informations, consultez Créer un répertoire virtuel (IIS 7).
  • Gardez à l’esprit qu’une protection spéciale est appliquée à certains dossiers système et d’applications dans Windows. Par exemple, le dossier inetpub nécessite des autorisations d’accès spéciales, ce qui complique la création d’un dossier partagé à utiliser avec une tâche planifiée pour transférer les fichiers. En tant qu’administrateur, vous êtes généralement en mesure de créer un emplacement de dossier à la racine d’un système de lecteurs logiques à utiliser pour les transferts de fichiers.

Si les ordinateurs de votre réseau sont configurés dans un environnement de domaine et qu’ils ne peuvent pas utiliser le mécanisme de mise à jour automatique ni télécharger des listes CTL, vous pouvez implémenter un objet de stratégie de groupe dans AD DS pour configurer ces ordinateurs afin qu’ils obtiennent les mises à jour CTL à partir d’un autre emplacement.

System_CAPS_ICON_note.jpg Remarque


La configuration de cette section suppose que vous avez déjà effectué la procédure dans Configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL.

Pour configurer un modèle d’administration personnalisé pour un objet de stratégie de groupe

  1. Sur un contrôleur de domaine, créez un modèle d’administration. Vous pouvez commencer par un fichier texte, puis remplacer l’extension de nom de fichier par .adm. Le contenu du fichier doit se présenter comme suit :

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilisez un nom descriptif pour enregistrer le fichier, par exemple RootDirURL.adm.

    System_CAPS_ICON_tip.jpg Astuce

    • Vérifiez que l’extension de nom de fichier est .adm et non .txt.
    • Si vous n’avez pas encore activé l’affichage des extensions de noms de fichiers, voir Comment afficher les extensions de noms de fichiers.
    • Si vous enregistrez le fichier dans le dossier %windir%\inf, il sera plus facile à rechercher lors des étapes suivantes.
  3. Ouvrez l’Éditeur de gestion des stratégies de groupe.

    • Si vous utilisez Windows Server 2008 R2 ou Windows Server 2008, cliquez sur Démarrer, puis sur Exécuter.

    • Si vous utilisez R2 Windows Server 2012 ou Windows Server 2012, appuyez simultanément sur les touches Windows et R.

    Tapez GPMC.msc, puis appuyez sur ENTRÉE.

    System_CAPS_ICON_caution.jpg Attention


    Vous pouvez lier un nouvel objet de stratégie de groupe au domaine ou à toute unité d’organisation. Les modifications de l’objet de stratégie de groupe implémentées dans ce document changent les paramètres de Registre des ordinateurs concernés. Vous ne pouvez pas annuler ces paramètres en supprimant l’objet de stratégie de groupe ou sa liaison. Les paramètres ne peuvent être changés qu’en les annulant dans les paramètres de l’objet de stratégie de groupe ou en modifiant le Registre en utilisant une autre technique.

  4. Dans la Console de gestion des stratégies de groupe, développez l’objet Forêt, l’objet Domaines, puis le domaine spécifique qui contient les comptes d’ordinateurs à modifier. Si vous voulez modifier une unité d’organisation spécifique, accédez à cet emplacement. Cliquez sur un objet de stratégie de groupe existant ou cliquez avec le bouton droit, puis cliquez sur Créer un objet GPO dans ce domaine, et le lier ici pour créer un nouvel objet de stratégie de groupe. Cliquez avec le bouton droit sur l’objet de stratégie de groupe que vous voulez modifier, puis cliquez sur Modifier.

  5. Dans le volet de navigation, sous Configuration ordinateur, développez Stratégies.

  6. Cliquez avec le bouton droit sur Modèles d’administration, puis cliquez sur Ajout/Suppression de modèles.

  7. Dans Ajout/Suppression de modèles, cliquez sur Ajouter. Dans la boîte de dialogue Modèles de stratégie, sélectionnez le modèle .adm que vous avez précédemment enregistré. Cliquez sur Ouvrir, puis sur Fermer.

  8. Dans le volet de navigation, développez Modèles d’administration, puis Modèles d’administration classiques (ADM).

  9. Cliquez sur Windows AutoUpdate Settings et, dans le volet d’informations, double-cliquez sur URL address to be used instead of default ctldl.windowsupdate.com.

  10. Sélectionnez Activé. Dans la section Options, entrez l’URL vers le serveur de fichiers ou Web qui contient les fichiers CTL. Par exemple, http://server1/CTL ou file://\\server1\CTL. Cliquez sur OK. Fermez l’Éditeur de gestion des stratégies de groupe.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

System_CAPS_ICON_important.jpg Important


Les listes CTL de confiance et non approuvées pouvant être mises à jour quotidiennement, assurez la synchronisation des fichiers en utilisant une tâche planifiée ou une autre méthode (par exemple, un script qui gère les conditions d’erreur) pour mettre à jour le dossier partagé ou le répertoire virtuel Web. Pour plus d’informations sur la création d’une tâche planifiée, consultez Planifier une tâche. Si vous envisagez d’écrire un script pour effectuer des mises à jour quotidiennes, consultez les sections Nouvelles options de l’outil Certutil et Erreurs potentielles avec Certutil -SyncWithWU de ce document. Ces sections fournissent des informations supplémentaires sur les options de commande et conditions d’erreur.

Il est possible que certaines organisations ne veuillent mettre à jour automatiquement que les listes CTL non approuvées (et non les listes CTL de confiance). Pour ce faire, vous pouvez créer deux modèles .adm à ajouter à la stratégie de groupe.

System_CAPS_ICON_important.jpg Important

  1. Dans un environnement déconnecté, vous pouvez utiliser la procédure suivante avec la précédente (Rediriger l’URL de mise à jour automatique Microsoft pour un environnement déconnecté). Cette procédure décrit comment désactiver de manière sélective la mise à jour automatique des listes CTL de confiance.
  2. Vous pouvez également utiliser cette procédure dans un environnement connecté en mode d’isolation pour désactiver de manière sélective la mise à jour automatique des listes CTL de confiance.

Pour rediriger de manière sélective uniquement les listes CTL non approuvées

  1. Sur un contrôleur de domaine, créez le premier modèle d’administration en commençant par un fichier texte, puis en remplaçant l’extension de nom de fichier par .adm. Le contenu du fichier doit se présenter comme suit :

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilisez un nom descriptif pour enregistrer le fichier, par exemple DisableAllowedCTLUpdate.adm.

  3. Créez un second modèle d’administration. Le contenu du fichier doit se présenter comme suit :

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Utilisez un nom de fichier descriptif pour enregistrer le fichier, par exemple EnableUntrustedCTLUpdate.adm.

    System_CAPS_ICON_tip.jpg Astuce

    • Vérifiez que l’extension des noms de ces fichiers est .adm et non .txt.
    • Si vous n’avez pas encore activé l’affichage des extensions de noms de fichiers, voir Comment afficher les extensions de noms de fichiers.
    • Si vous enregistrez le fichier dans le dossier %windir%\inf, il sera plus facile à rechercher lors des étapes suivantes.
  5. Ouvrez l’Éditeur de gestion des stratégies de groupe.

  6. Dans la Console de gestion des stratégies de groupe, développez l’objet Forêt, l’objet Domaines, puis l’objet de domaine spécifique à modifier. Cliquez avec le bouton droit sur l’objet de stratégie de groupe de la stratégie de domaine par défaut, puis cliquez sur Modifier.

  7. Dans le volet de navigation, sous Configuration ordinateur, développez Stratégies.

  8. Cliquez avec le bouton droit sur Modèles d’administration, puis cliquez sur Ajout/Suppression de modèles.

  9. Dans Ajout/Suppression de modèles, cliquez sur Ajouter. Utilisez la boîte de dialogue Modèles de stratégie pour sélectionner les modèles .adm que vous avez précédemment enregistrés. (Vous pouvez maintenir la touche CTRL enfoncée et cliquer sur chaque fichier pour les sélectionner les deux.) Cliquez sur Ouvrir, puis sur Fermer.

  10. Dans le volet de navigation, développez Modèles d’administration, puis Modèles d’administration classiques (ADM).

  11. Cliquez sur Windows AutoUpdate Settings et, dans le volet d’informations, double-cliquez sur Mise à jour de racine automatique.

  12. Sélectionnez Désactivé. Ce paramètre empêche la mise à jour automatique des listes CTL de confiance. Cliquez sur OK.

  13. Dans le volet d’informations, double-cliquez sur Untrusted CTL Automatic Update. Sélectionnez Activé. Cliquez sur OK.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

System_CAPS_ICON_important.jpg Important


Les listes CTL de confiance et non approuvées pouvant être mises à jour quotidiennement, assurez la synchronisation des fichiers en utilisant une tâche planifiée ou une autre méthode pour mettre à jour le dossier partagé ou le répertoire virtuel.

Cette section décrit la façon dont vous pouvez créer, examiner et filtrer les listes CTL de confiance qui doivent être utilisées par les ordinateurs de votre organisation. Vous devez implémenter les objets de stratégie de groupe décrits dans les procédures précédentes pour utiliser cette résolution. Cette résolution est disponible pour les environnements connectés et déconnectés.

Vous devez exécuter deux procédures pour personnaliser la liste des listes CTL de confiance.

  1. Créer un sous-ensemble de certificats de confiance

  2. Distribuer les certificats de confiance à l’aide de la stratégie de groupe

Pour créer un sous-ensemble de certificats de confiance

  1. À partir d’un ordinateur connecté à Internet, ouvrez Windows PowerShell en tant qu’administrateur ou ouvrez une invite de commandes avec élévation de privilèges et tapez la commande suivante :

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. Vous pouvez exécuter la commande suivante dans l’Explorateur Windows pour ouvrir WURoots.sst :

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg Astuce


    Vous pouvez également utiliser Internet Explorer pour accéder au fichier et double-cliquer dessus pour l’ouvrir. En fonction de l’emplacement de stockage du fichier, vous pouvez également être en mesure de l’ouvrir en tapant wuroots.sst.

  3. Dans le volet de navigation du gestionnaire de certificats, développez le chemin d’accès au fichier sous Certificats - Utilisateur actuel jusqu’à ce que Certificats s’affiche, puis cliquez sur Certificats.

  4. Dans le volet d’informations, les certificats de confiance s’affichent. Maintenez la touche CTRL enfoncée et cliquez sur chacun des certificats que vous voulez autoriser. Une fois la sélection des certificats à autoriser terminée, cliquez avec le bouton droit sur l’un des certificats sélectionnés, cliquez sur Toutes les tâches, puis sur Exporter.

    System_CAPS_ICON_important.jpg Important


    Vous devez sélectionner deux certificats au minimum pour exporter le type de fichier .sst. Si vous ne sélectionnez qu’un certificat, le type de fichier .sst n’est pas disponible et le type de fichier .cer est sélectionné à la place.

  5. Dans l’Assistant Exportation du certificat, cliquez sur Suivant.

  6. Dans la page Format du fichier d’exportation, sélectionnez Magasin de certificats sérialisés Microsoft (.SST), puis cliquez sur Suivant.

  7. Dans la page Fichier à exporter, entrez un chemin d’accès au fichier et un nom approprié pour le fichier, par exemple C:\AllowedCerts.sst, puis cliquez sur Suivant. Cliquez sur Terminer. Lorsque vous êtes informé de la réussite de l’exportation, cliquez sur OK.

  8. Copiez le fichier .sst que vous avez créé sur un contrôleur de domaine.

Pour distribuer la liste des certificats de confiance à l’aide de la stratégie de groupe

  1. Sur le contrôleur de domaine qui dispose du fichier .sst personnalisé, ouvrez l’Éditeur de gestion des stratégies de groupe.

  2. Dans la Console de gestion des stratégies de groupe, développez l’objet Forêt, l’objet Domaines, puis l’objet de domaine spécifique à modifier. Cliquez avec le bouton droit sur l’objet de stratégie de groupe de la stratégie de domaine par défaut, puis cliquez sur Modifier.

  3. Dans le volet de navigation, sous Configuration ordinateur, développez Stratégies, Paramètres Windows, Paramètres de sécurité, puis Stratégies de clé publique.

  4. Cliquez avec le bouton droit sur Autorités de certification racines de confiance, puis cliquez sur Importer.

  5. Dans l’Assistant Importation du certificat, cliquez sur Suivant.

  6. Entrez le chemin d’accès et le nom du fichier que vous avez copié sur le contrôleur de domaine, ou utilisez le bouton Parcourir pour rechercher le fichier. Cliquez sur Suivant.

  7. Confirmez que vous voulez placer ces certificats dans le magasin de certificats Autorités de certification racines de confiance en cliquant sur Suivant. Cliquez sur Terminer. Lorsque vous êtes informé de la réussite de l’importation des certificats, cliquez sur OK.

  8. Fermez l’Éditeur de gestion des stratégies de groupe.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

Les paramètres décrits dans ce document configurent les clés de Registre suivantes sur les ordinateurs clients. Ces paramètres ne sont pas automatiquement supprimés si l’objet de stratégie de groupe n’est pas lié au domaine ou est supprimé de celui-ci. Ces paramètres doivent être spécifiquement reconfigurés si vous voulez les modifier.

Clés de RegistreValeur et description
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateLa valeur 1 désactive la mise à jour automatique Windows de la liste CTL de confiance.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateLa valeur 1 active la mise à jour automatique Windows de la liste CTL non approuvée.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlConfigure l’emplacement partagé (chemin d’accès HTTP ou FILE).

Les options suivantes ont été ajoutées à Certutil :

SyntaxeDescriptionExemple
CertUtil [Options] -syncWithWU DestinationDirSynchroniser avec Windows Update.

 
  • DestinationDir est le dossier qui reçoit les fichiers à l’aide du mécanisme de mise à jour automatique.
  • Les fichiers suivants sont téléchargés à l’aide du mécanisme de mise à jour automatique :

     
    • Le fichier authrootstl.cab contient les listes CTL de certificats racines non-Microsoft.
    • Le fichier disallowedcertstl.cab contient les listes CTL de certificats non autorisés.
    • Le fichier disallowedcert.sst contient le magasin de certificats sérialisés, y compris les certificats non autorisés.
    • Le fichier <thumbprint>.crt contient les certificats racines non-Microsoft.
CertUtil -syncWithWU \\server1\PKI\CTLs
CertUtil [Options] -generateSSTFromWU SSTFileGénérer le fichier SST à l’aide du mécanisme de mise à jour automatique.

SSTFile : fichier .sst à créer. Le fichier .sst généré contient les certificats racines non-Microsoft téléchargés à l’aide du mécanisme de mise à jour automatique.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg Astuce


Certutil -SyncWithWU -f <folder> met à jour des fichiers existants dans le dossier cible.

Certutil -syncWithWU -f -f <folder> supprime et remplace des fichiers dans le dossier cible.

Les erreurs et avertissements suivants peuvent s’afficher lors de l’exécution de la commande Certutil -syncWithWU :

  • Si vous utilisez un dossier ou chemin d’accès local inexistant comme dossier de destination, l’erreur suivante s’affiche :

    Le fichier spécifié est introuvable. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Si vous utilisez un emplacement réseau non disponible ou inexistant comme dossier de destination, l’erreur suivante s’affiche :

    Nom de réseau introuvable. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Si votre serveur ne peut pas se connecter via le port TCP 80 aux serveurs de mise à jour automatique Microsoft, l’erreur suivante s’affiche :

    Impossible d’établir une connexion avec le serveur 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Si votre serveur ne peut pas atteindre les serveurs de mise à jour automatique Microsoft avec le nom DNS ctldl.windowsupdate.com, l’erreur suivante s’affiche :

    L’adresse ou le nom de serveur n’a pas pu être résolu 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Si vous n’utilisez pas le commutateur -f et que l’un des fichiers CTL existe déjà dans le répertoire, une erreur indiquant que le fichier existe s’affiche :

    CertUtil : -syncWithWU ÉCHEC de la commande : 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil : Impossible de créer un fichier déjà existant.

  • En cas de modification des certificats racines de confiance, vous voyez s’afficher : « Avertissement ! Détection des racines suivantes qui ne sont plus dignes de confiance : <chemin d’accès au dossier>\<thumbprint>.crt. Utilisez les options « -f -f » pour forcer la suppression des fichiers « .crt » ci-dessus. Est-ce que « authrootstl.cab » a été mis à jour ? Si tel est le cas, différez la suppression jusqu’à ce que tous les clients aient été mis à jour. »

Afficher: