TechNet
Exporteren (0) Afdrukken
Alles uitvouwen
U kunt het artikel in het Engels weergeven door het selectievakje Engels in te schakelen. U kunt de Engelse tekst ook in een pop-upvenster weergeven door de muisaanwijzer over de tekst te bewegen.
Vertaling
Engels

Vertrouwde basiscertificaten en niet-toegestane certificaten configureren

 

Van toepassing op: Windows 8.1, Windows Server 2012 R2

De besturingssystemen Windows Server 2012 R2, Windows Server 2012, Windows 8.1 en Windows 8 bevatten een mechanisme waarmee automatisch dagelijks updates voor certificaatvertrouwenslijsten (CTL's) worden gedownload. In Windows Server 2012 R2 en Windows 8.1 zijn extra mogelijkheden beschikbaar om te bepalen hoe de CTL's worden bijgewerkt.

System_CAPS_importantBelangrijk

Er zijn software-updates beschikbaar voor Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 en Windows Vista. Als u gebruik wilt maken van het verbeterde mechanisme voor automatische updates dat in dit document wordt besproken, voert u de volgende updates uit:

  • Voor Windows Server 2008 R2, Windows Server 2008, Windows 7 of Windows Vista past u de juiste update toe die wordt vermeld in document 2677070 in de Microsoft Knowledge Base.

  • Voor Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 of Windows Vista past u de juiste update toe die wordt vermeld in document 2813430 in de Microsoft Knowledge Base.

Met het Microsoft Root Certificate Program (Microsoft Basiscertificaatprogramma) is distributie van vertrouwde basiscertificaten binnen Windows-besturingssystemen mogelijk. Zie Windows Root Certificate Program - Members List (All CAs) (Engelstalig) voor meer informatie over de lijst met leden in het Microsoft Basiscertificaatprogramma.

Vertrouwde basiscertificaten kunnen in het certificaat Vertrouwde basiscertificeringsinstanties van de Windows-besturingssystemen worden geplaatst. Deze certificaten worden vertrouwd door het besturingssysteem en kunnen worden gebruikt door toepassingen als referentie voor PKI-hiërarchieën (Public Key Infrastructure - openbare-sleutelinfrastructuur) en digitale certificaten die betrouwbaar zijn. Er zijn twee methoden voor distributie van vertrouwde basiscertificaten:

  1. Automatisch: de lijst met vertrouwde basiscertificaten wordt opgeslagen in een CTL (certificaatvertrouwenslijst). Clientcomputers maken verbinding met de website Windows Update met behulp van het mechanisme voor automatische updates om deze CTL bij te werken.

    System_CAPS_noteOpmerking

    De lijst met vertrouwde basiscertificaten wordt de vertrouwde CTL genoemd.

  2. Handmatig: de lijst met vertrouwde basiscertificaten is beschikbaar als een zelfuitpakkend IEXPRESS-pakket in het Microsoft Downloadcentrum, de Windows-catalogus of met behulp van Windows Server Update Services (WSUS). IEXPRESS-pakketten worden tegelijk met de vertrouwde CTL vrijgegeven.

System_CAPS_noteOpmerking

Zie document 931125 in de Microsoft Knowledge Base voor meer informatie over deze updatemethoden.

Niet-vertrouwde certificaten zijn certificaten waarvan algemeen bekend is dat ze frauduleus zijn. Net als bij de vertrouwde CTL zijn er twee methoden die worden gebruikt voor distributie van een lijst met niet-vertrouwde certificaten:

  1. Automatisch: de lijst met niet-vertrouwde certificaten wordt opgeslagen in een CTL (certificaatvertrouwenslijst). Clientcomputers maken verbinding met de website Windows Update met behulp van het mechanisme voor automatische updates om deze CTL bij te werken.

    System_CAPS_noteOpmerking

    Een lijst met niet-vertrouwde certificaten wordt een niet-vertrouwde CTL genoemd. Zie Announcing the automated updater of untrustworthy certificates and keys (Engelstalig) voor meer informatie.

  2. Handmatig: de lijst met niet-vertrouwde certificaten wordt aangeleverd als een zelfuitpakkend IEXPRESS-pakket in een verplichte Windows-beveiligingsupdate.

Vóór Windows Server 2012 R2 en Windows 8.1 (of de installatie van de hiervoor besproken software-update), werden updates voor vertrouwde basiscertificaten en niet-vertrouwde certificaten door dezelfde registerinstelling geregeld. Een beheerder kon deze niet afzonderlijk in- of uitschakelen. Dit had de volgende uitdagingen tot gevolg:

  • Als de organisatie een omgeving zonder verbinding had, kon deze enkel de IEXPRESS-pakketten gebruiken om CTL's bij te werken.

    System_CAPS_noteOpmerking

    Een netwerk waarin de computers geen toegang hebben tot de website Windows Update wordt in dit document beschouwd als een omgeving zonder verbinding.

    De IEXPRESS-updatemethode is een grotendeels handmatig proces. Bovendien is het IEXPRESS-pakket mogelijk niet meteen beschikbaar wanneer de CTL wordt vrijgegeven, waardoor er een extra vertraging optreedt voor de installatie van deze updates bij gebruik van deze methode.

  • Hoewel uitschakelen van automatische updates voor vertrouwde CTL's wordt aanbevolen voor beheerders die hun lijsten met vertrouwde basiscertificaten (in omgevingen met en zonder verbinding) beheren, raden we het uitschakelen van automatische updates voor niet-vertrouwde CTL's niet aan.

    Zie Controlling the Update Root certificate Certificates Feature to Prevent the Flow of Information to and from the Internet (Engelstalig) voor meer informatie.

  • Omdat netwerkbeheerders niet alleen de vertrouwde basiscertificaten in een vertrouwde CTL konden bekijken en uitpakken, was het lastig om een aangepaste lijst met vertrouwde certificaten te beheren.

De volgende verbeterde mechanismen voor automatische updates voor omgevingen zonder verbinding zijn beschikbaar in Windows Server 2012 R2 en Windows 8.1 of wanneer de betreffende software-update is geïnstalleerd.

  • Registerinstellingen voor het opslaan van CTL's (certificaatvertrouwenslijsten)   Met deze nieuwe instellingen is het mogelijk de locatie te wijzigen voor het uploaden van vertrouwde of niet-vertrouwde CTL's van de website Windows Update naar een gedeelde locatie binnen een organisatie. Zie voor meer informatie de sectie Registerinstellingen aangepast.

  • Synchronisatie-opties   Als de URL voor de website Windows Update wordt verplaatst naar een lokale gedeelde map, moet die map worden gesynchroniseerd met de map Windows Update. Met deze software-update wordt een set opties toegevoegd in het hulpprogramma Certutil, die beheerders kunnen gebruiken om synchronisatie in te schakelen. Zie voor meer informatie de sectie Nieuwe Certutil-opties.

  • Hulpmiddel om vertrouwde basiscertificaten te selecteren   Met deze software-update wordt een nieuw hulpmiddel geïntroduceerd voor beheerders die de set vertrouwde basiscertificaten binnen hun bedrijfsomgeving beheren. Beheerders kunnen de set vertrouwde basiscertificaten bekijken en selecteren, exporteren naar een serieel certificaatarchief en distribueren met behulp van Groepsbeleid. Zie voor meer informatie de sectie Nieuwe Certutil-opties in dit document.

  • Afzonderlijke configuratiemogelijkheden   De mechanismen voor automatische updates voor vertrouwde en niet-vertrouwde certificaten zijn los van elkaar te configureren. Hierdoor kunnen beheerders het mechanisme voor automatische updates gebruiken om alleen de niet-vertrouwde CTL's te downloaden en hun eigen lijst van vertrouwde CTL's te beheren. Zie voor meer informatie de sectie Registerinstellingen aangepast in dit document.

In Windows Server 2012 R2 en Windows 8.1 (of door de eerder genoemde software-updates te installeren op ondersteunde besturingssystemen) kan een beheerder een bestands- of webserver zo instellen dat de volgende bestanden worden gedownload met behulp van het mechanisme voor automatische updates:

  • authrootstl.cab, wat een niet-Microsoft CTL bevat;

  • disallowedcertstl.cab, wat een CTL met niet-vertrouwde certificaten bevat;

  • disallowedcert.sst, wat een serieel certificaatarchief bevat, inclusief niet-vertrouwde certificaten;

  • thumbprint.crt, wat niet-Microsoft basiscertificaten bevat.

De stappen voor het uitvoeren van deze configuratie worden beschreven in de sectie Een bestand of webserver configureren om de CTL-bestanden te downloaden van dit document.

Door Windows Server 2012 R2 en Windows 8.1 te gebruiken (of door de eerder genoemde software-updates te installeren op ondersteunde besturingssystemen), kan een beheerder:

System_CAPS_importantBelangrijk
  • Voor alle stappen in dit document hebt u een account nodig dat lid is van de lokale groep Administrators. Voor alle Active Directory Domain Services (AD DS) configuratiestappen, moet u een account gebruiken dat lid is van de groep Domain Admins of waarvoor de benodigde machtigingen zijn overgedragen.

  • Voor de procedures in dit document is het nodig dat ten minste één computer verbinding kan maken met het internet, om CTL's te downloaden bij Microsoft. De computer moet HTTP-toegang (TCP-poort 80) en mogelijkheid voor naamomzetting (TCP- en UDP-poort 53) hebben om verbinding te kunnen maken met ctldl.windowsupdate.com. Deze computer kan een domeinlid of werkgroeplid zijn. Voor alle gedownloade bestanden is nu ongeveer 1,5 Mb schijfruimte vereist.

  • De in dit document beschreven instellingen worden geïmplementeerd met behulp van groepsbeleidsobjecten. Deze instellingen worden niet automatisch verwijderd wanneer het groepsbeleidsobject wordt losgekoppeld of verwijderd van het AD DS-domein. Na implementatie kunnen deze instellingen alleen worden gewijzigd met behulp van een groepsbeleidsobject of door het register van de betreffende computers aan te passen.

  • De in dit document besproken concepten staan los van Windows Server Update Services (WSUS).

    • U hoeft WSUS niet te gebruiken om de in dit document besproken configuratie te implementeren.

    • Indien u WSUS gebruikt, hebben deze instructies geen invloed op de werking van WSUS.

    • Implementatie van WSUS is geen vervanging voor implementatie van de in dit document besproken configuraties.

Om distributie van vertrouwde of niet-vertrouwde certificaten voor een omgeving zonder verbinding te vergemakkelijken, moet u eerst een bestand of webserver configureren om de CTL-bestanden van het mechanisme voor automatische updates te downloaden.

System_CAPS_tipTip

De in deze sectie beschreven configuratie is niet nodig voor omgevingen waar computers rechtstreeks verbinding kunnen maken met de website Windows Update. Computers die verbinding kunnen maken met de website Windows Update kunnen dagelijks bijgewerkte CTL's ontvangen (als Windows Server 2012 of Windows 8 wordt uitgevoerd of de eerder genoemde software-updates zijn geïnstalleerd op ondersteunde besturingssystemen). Zie document 2677070 in de Microsoft Knowledge Base voor meer informatie.

Ga als volgt te werk om een server die toegang heeft tot het internet te configureren om de CTL-bestanden op te halen

  1. Maak een gedeelde map aan op een bestands- of webserver, die gesynchroniseerd kan worden door het mechanisme voor automatische updates te gebruiken, waarin u de CTL-bestanden wilt opslaan.

    System_CAPS_tipTip

    Voordat u begint, moet u wellicht de machtigingen voor gedeelde mappen en machtigingen voor NTFS-mappen aanpassen om te zorgen dat het juiste account toegang heeft, vooral als u een geplande taak met een serviceaccount gebruikt. Zie Machtigingen voor gedeelde mappen beheren voor meer informatie over het aanpassen van machtigingen.

  2. Voer de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid:

    Certutil -syncWithWU \\<server>\<share>
    

    Vervang <server> door de werkelijke naam van de server en <share> door de naam van de gedeelde map. Bijvoorbeeld: als u deze opdracht uitvoert voor een server met de naam Server1 met een gedeelde map met de naam CTL, zou u de volgende opdracht uitvoeren:

    Certutil -syncWithWU \\Server1\CTL
    
  3. Download de CTL-bestanden op een server die computers in een omgeving zonder verbinding via het netwerk kunnen gebruiken met behulp van een bestandspad (bijvoorbeeld: FILE://\\Server1\CTL) of een HTTP-pad (bijvoorbeeld: HTTP://Server1/CTL).

System_CAPS_noteOpmerking
  • Als er binnen de omgeving zonder verbinding geen toegang is tot de server die de CTL's synchroniseert, moet u een andere methode bieden om de informatie over te dragen. U kunt bijvoorbeeld een computer van een van de domeinleden toestaan verbinding te maken met de server en dan een andere taak op de computer van het domeinlid inplannen om de informatie over te zetten naar een gedeelde map op een interne webserver. Als er helemaal geen netwerkverbinding is, moet u wellicht een handmatig proces gebruiken voor de overdracht van de bestanden, bijvoorbeeld met een verwisselbaar opslagapparaat.

  • Als u een webserver wilt gebruiken, moet u een nieuwe virtuele map maken voor de CTL-bestanden. De stappen om een virtuele map te maken met behulp van Internet Information Services (IIS) zijn bijna hetzelfde voor alle in dit document besproken ondersteunde besturingssystemen. Zie Create a Virtual Directory (IIS7) (Engelstalig) voor meer informatie.

  • Let erop dat er op bepaalde systeem- en toepassingsmappen in Windows speciale bescherming is toegepast. Voor de map inetpub zijn bijvoorbeeld speciale toegangsmachtigingen nodig, waardoor het lastig is om een gedeelde map te maken voor gebruik met een geplande taak voor overdracht van bestanden. Als beheerder kunt u normaal gesproken een maplocatie maken in de hoofdmap van een logisch schijfsysteem, die kan worden gebruikt voor bestandsoverdracht.

Als de computers in uw netwerk zijn geconfigureerd in een domeinomgeving en deze het mechanisme voor automatische updates niet kunnen gebruiken en geen CTL's kunnen downloaden, kunt u een groepsbeleidsobject implementeren in AD DS om die computers zo te configureren dat deze de CTL-updates ophalen op een alternatieve locatie.

System_CAPS_noteOpmerking

Voor de configuratie in deze sectie moet u de stappen in Een bestand of webserver configureren om de CTL-bestanden te downloaden al hebben uitgevoerd.

Ga als volgt te werk om een aangepast beheersjabloon voor een groepsbeleidsobject te configureren

  1. Maak op een domeincontroller een nieuwe beheersjabloon aan. U kunt deze sjabloon starten als een tekstbestand en de bestandsnaamextensie vervolgens wijzigen naar .adm. De inhoud van het bestand moet als volgt zijn:

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
        POLICY !!RootDirURL
           EXPLAIN !!RootDirURL_help
           PART !!RootDirURL EDITTEXT
                 VALUENAME "RootDirURL"
           END PART
        END POLICY
    END CATEGORY
    [strings]
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
    SystemCertificates="Windows AutoUpdate Settings"
    
    
  2. Gebruik een beschrijvende naam om het bestand op te slaan, bijvoorbeeld HoofdMapURL.adm.

    System_CAPS_tipTip
    • Zorg ervoor dat de bestandsnaamextensie .adm en niet .txt is.

    • Zie How To: View File Name Extensions (Engelstalig) als u het weergeven van bestandsnaamextensies nog niet hebt ingeschakeld .

    • Als u het bestand opslaat in de map %windir%\inf, is het makkelijker om het terug te vinden in de volgende stappen.

  3. Open de groepsbeleidsbeheer-editor.

    • Als u Windows Server 2008 R2 of Windows Server 2008 gebruikt, klikt u op Start en vervolgens op Uitvoeren.

    • Als u Windows Server 2012 R2 of Windows Server 2012 gebruikt, drukt u gelijktijdig op de Windows-toets en de R-toets.

    Typ GPMC.msc en druk op Enter.

    System_CAPS_cautionLet op

    U kunt een nieuw groepsbeleidsobject aan het domein of een organisatie-eenheid (OU) koppelen. De in dit document geïmplementeerde wijzigingen in groepsbeleidsobjecten wijzigen de registerinstellingen van de betrokken computers. U kunt deze instellingen ongedaan maken door het groepsbeleidsobject te verwijderen of los te koppelen. De instellingen kunnen alleen ongedaan worden gemaakt door deze om te keren in de instellingen voor groepsbeleidsobjecten of het register met een andere methode aan te passen.

  4. Vouw in de console Groepsbeleidsbeheer het object Forest uit, vouw het object Domeinen uit en vouw vervolgens het specifieke domein uit dat de computeraccounts bevat die u wilt wijzigen. Als u een specifieke OU hebt die u wilt aanpassen, gaat u naar die locatie. Klik op een bestaand groepsbeleidsobject of klik met de rechtermuisknop en klik vervolgens op Groepsbeleidsobject in dit domein maken en hier een koppeling maken om een nieuw groepsbeleidsobject te maken. Klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt wijzigen en klik vervolgens op Bewerken.

  5. Vouw in het navigatievenster onder ComputerconfiguratieBeleidsregels uit.

  6. Klik met de rechtermuisknop op Beheersjablonen en klik vervolgens op Sjablonen toevoegen/verwijderen.

  7. Klik in Sjablonen toevoegen/verwijderen op Toevoegen. Selecteer in het dialoogvenster Beleidssjablonen het .adm-sjabloon dat u eerder hebt opgeslagen. Klik op Openen en vervolgens op Sluiten.

  8. Vouw in het navigatievenster Beheersjablonen uit en vouw vervolgens Klassieke beheersjablonen (ADM) uit.

  9. Klik op Instellingen voor Windows AutoUpdate en dubbelklik in het detailvenster op Te gebruiken URL-adres in plaats van standaard ctldl.windowsupdate.com.

  10. Selecteer Ingeschakeld. Typ in de sectie Opties de URL naar de bestands- of webserver met de CTL-bestanden. Bijvoorbeeld, http://server1/CTL of file://\\server1\CTL. Klik op OK. Sluit de editor voor Groepsbeleidsbeheer.

Het beleid wordt onmiddellijk van kracht, maar de clientcomputers moeten opnieuw worden opgestart om de nieuwe instellingen te ontvangen. U kunt ook gpupdate /force typen vanaf een opdrachtprompt met verhoogde bevoegdheid of vanuit Windows PowerShell.

System_CAPS_importantBelangrijk

De vertrouwde en niet-vertrouwde CTL's kunnen dagelijks worden bijgewerkt, dus zorg ervoor dat de bestanden gesynchroniseerd blijven door een geplande taak of een andere methode (zoals een script dat fouten verwerkt) te gebruiken om de gedeelde map of virtuele webmap bij te werken. Zie Taken plannen voor meer informatie over het maken van een geplande taak. Zie de secties Nieuwe Certutil-opties en Potentiële fouten met Certutil -SyncWithWU van dit document als u van plan bent een script te maken om dagelijkse updates uit te voeren. In deze secties vindt u meer informatie over de opdrachtopties en fouten.

Sommige organisaties willen mogelijk alleen dat de niet-vertrouwde CTL's (niet de vertrouwde CTL's) automatisch worden bijgewerkt. Om dit te realiseren, kunt u twee .adm-sjablonen maken, die u aan het groepsbeleid kunt toevoegen.

System_CAPS_importantBelangrijk
  1. In een omgeving zonder verbinding kunt u de volgende procedure samen met de vorige procedure (omleiden van de Microsoft Automatic Update URL voor vertrouwde CTL's en niet-vertrouwde CTL's) gebruiken. In deze procedure wordt uitgelegd hoe u de automatische update van vertrouwde CTL's selectief kunt uitschakelen.

  2. U kunt deze procedure ook gebruiken in een geïsoleerde omgeving met verbinding om de automatische update van vertrouwde CTL's selectief uit te schakelen.

Ga als volgt te werk om alleen niet-vertrouwde CTL's selectief om te leiden

  1. Maak op een domeincontroller de eerste nieuwe beheersjabloon door te beginnen met een tekstbestand en vervolgens de bestandsnaamextensie te veranderen naar .adm. De inhoud van het bestand moet als volgt zijn:

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        POLICY !!DisableRootAutoUpdate    
           EXPLAIN !!Certificates_config
           VALUENAME "DisableRootAutoUpdate"
           VALUEON NUMERIC 0
              VALUEOFF NUMERIC 1
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
        END POLICY
    END CATEGORY
    [strings]
    DisableRootAutoUpdate="Auto Root Update"
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
    SystemCertificates="Windows AutoUpdate Settings"
    
    
  2. Gebruik een beschrijvende naam om het bestand op te slaan, bijvoorbeeld UpdateToegestaneCTLUitschakelen.adm.

  3. Maak een tweede nieuwe beheersjabloon. De inhoud van het bestand moet als volgt zijn:

    CLASS MACHINE
    CATEGORY !!SystemCertificates
        POLICY !!EnableDisallowedCertAutoUpdate        
           EXPLAIN !!Certificates_config
           VALUENAME "EnableDisallowedCertAutoUpdate"
           VALUEON NUMERIC 1
              VALUEOFF NUMERIC 0
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
        END POLICY
    END CATEGORY
    [strings]
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
    SystemCertificates="Windows AutoUpdate Settings"
    
    
  4. Gebruik een beschrijvende naam om het bestand op te slaan, bijvoorbeeld InschakelenUpdateNietvertrouwdeCTL.adm.

    System_CAPS_tipTip
    • Zorg ervoor dat de bestandsnaamextensies van deze bestanden .adm zijn en niet .txt.

    • Zie How To: View File Name Extensions (Engelstalig) als u het weergeven van bestandsnaamextensies nog niet hebt ingeschakeld .

    • Als u het bestand opslaat in de map %windir%\inf, is het makkelijker om het terug te vinden in de volgende stappen.

  5. Open de groepsbeleidsbeheer-editor.

  6. Vouw in de console Groepsbeleidsbeheer Forest, Domeinen en het specifieke domeinobject dat u wilt wijzigen uit. Klik met de rechtermuisknop op het Groepsbeleidsobject standaard domeinbeleid en klik vervolgens op Bewerken.

  7. Vouw in het navigatievenster onder ComputerconfiguratieBeleidsregels uit.

  8. Klik met de rechtermuisknop op Beheersjablonen en klik vervolgens op Sjablonen toevoegen/verwijderen.

  9. Klik in Sjablonen toevoegen/verwijderen op Toevoegen. Gebruik het dialoogvenster Beleidssjablonen om de .adm-sjablonen te selecteren die u eerder hebt opgeslagen. (u kunt de Ctrl-toets ingedrukt houden en elk bestand aanklikken om beide te selecteren.) Klik op Openen en vervolgens op Sluiten.

  10. Vouw in het navigatievenster eerst Beheersjablonen en vervolgens Klassieke beheersjablonen (ADM) uit.

  11. Klik op Instellingen voor Windows AutoUpdate en dubbelklik vervolgens in het detailvenster op Auto Root Update.

  12. Selecteer Uitgeschakeld. Met deze instelling voorkomt u automatische update van de vertrouwde CTL's. Klik op OK.

  13. Dubbelklik in het detailvenster op Niet-vertrouwde CTL automatisch bijwerken. Selecteer Ingeschakeld. Klik op OK.

Het beleid wordt onmiddellijk van kracht, maar de clientcomputers moeten opnieuw worden opgestart om de nieuwe instellingen te ontvangen. U kunt ook gpupdate /force typen vanaf een opdrachtprompt met verhoogde bevoegdheid of vanuit Windows PowerShell.

System_CAPS_importantBelangrijk

De vertrouwde en niet-vertrouwde CTL's kunnen dagelijks worden bijgewerkt, dus zorg ervoor dat de bestanden gesynchroniseerd blijven door een geplande taak of een andere methode te gebruiken om de gedeelde map of virtuele webmap bij te werken.

In deze sectie wordt beschreven hoe u de vertrouwde CTL's waarvan u wilt dat computers in uw organisatie deze gebruiken, kunt produceren, beoordelen en filteren. U moet de groepsbeleidsobjecten die in de voorgaande procedures werden beschreven implementeren om deze oplossing te kunnen gebruiken. Deze oplossing is beschikbaar voor omgevingen met en zonder verbinding.

Er moeten twee procedures worden uitgevoerd om de lijst met vertrouwde CTL's aan te passen.

  1. Een deelverzameling van vertrouwde certificaten maken

  2. De vertrouwde certificaten verspreiden met behulp van groepsbeleid

Ga als volgt te werk om een deelverzameling van vertrouwde certificaten te maken

  1. Open vanaf een computer die is verbonden met internet Windows PowerShell als beheerder, of open een opdrachtprompt met verhoogde bevoegdheden, en typ de volgende opdracht:

    Certutil -generateSSTFromWU WURoots.sst
    
  2. U kunt de volgende opdracht uitvoeren in Windows Verkenner om het bestand WURoots.sst te openen:

    start explorer.exe wuroots.sst
    
    System_CAPS_tipTip

    U kunt ook Internet Explorer gebruiken om naar het bestand te gaan en er dubbel op klikken om het te openen. Afhankelijk van waar u het bestand hebt opgeslagen, kunt u het mogelijk ook openen door wuroots.sst te typen.

  3. Vouw in het navigatievenster van Certificaatbeheer het bestandspad onder Certificaten - Huidige gebruiker uit tot u Certificaten ziet en klik dan op Certificaten.

  4. In het detailvenster ziet u nu de vertrouwde certificaten. Houd de Ctrl-toets ingedrukt en klik op alle certificaten die u wilt toestaan. Klik wanneer u alle certificaten die u wilt toestaan hebt geselecteerd met de rechtermuisknop op een van de geselecteerde certificaten, klik op Alle taken en vervolgens op Exporteren.

    System_CAPS_importantBelangrijk

    U moet ten minste twee certificaten selecteren om het .sst-bestandstype te exporteren. Als u maar één certificaat selecteert, is het .sst-bestandstype niet beschikbaar en wordt in plaats daarvan het .cer-bestandstype geselecteerd.

  5. Klik in de Wizard Certificaat exporteren op Volgende.

  6. Selecteer op de pagina Bestandsindeling voor exportMicrosoft-archief met van serienummer voorziene certificaten (.SST), en klik vervolgens op Volgende.

  7. Typ op de pagina Te exporteren bestand een bestandspad en een geschikte naam voor het bestand, bijvoorbeeld C:\ToegestaneCertificaten.sst, en klik vervolgens op Volgende. Klik op Voltooien. Wanneer u de melding ziet dat het exporteren geslaagd is, klikt u op OK.

  8. Kopieer het .sst-bestand dat u hebt gemaakt naar een domeincontroller.

De lijst met vertrouwde certificaten verspreiden met behulp van groepsbeleid

  1. Open op de domeincontroller met het aangepaste .sst-bestand de Groepsbeleidsbeheer-editor.

  2. Vouw in de console Groepsbeleidsbeheer Forest, Domeinen en het specifieke domeinobject dat u wilt wijzigen uit. Klik met de rechtermuisknop op Groepsbeleidsobject standaard domeinbeleid en klik vervolgens op Bewerken.

  3. Vouw in het navigatievenster onder Computerconfiguratie achtereenvolgens Beleidsregels, Windows-instellingen, Beveiligingsinstellingen en vervolgens Beleid voor openbare sleutels uit.

  4. Klik met de rechtermuisknop op Vertrouwde basiscertificeringsinstanties en klik vervolgens op Importeren.

  5. Klik in de wizard Certificaat importeren op Volgende.

  6. Typ het pad en de bestandsnaam van het bestand dat u naar de domeincontroller hebt gekopieerd, of gebruik de knop Bladeren om het bestand te zoeken. Klik op Volgende.

  7. Bevestig dat u deze certificaten in het certificaatarchief Vertrouwde basiscertificeringsinstanties wilt plaatsen door op Volgende te klikken. Klik op Voltooien. Wanneer u de melding ziet dat de certificaten geïmporteerd zijn, klikt u op OK.

  8. Sluit de editor voor Groepsbeleidsbeheer.

Het beleid wordt onmiddellijk van kracht, maar de clientcomputers moeten opnieuw worden opgestart om de nieuwe instellingen te ontvangen. U kunt ook gpupdate /force typen vanaf een opdrachtprompt met verhoogde bevoegdheid of vanuit Windows PowerShell.

De in dit document beschreven instellingen configureren de volgende registersleutels op de clientcomputers. Deze instellingen worden niet automatisch verwijderd als het groepsbeleidsobject wordt losgekoppeld of verwijderd van het domein. Deze instellingen moeten specifiek opnieuw worden geconfigureerd als u deze wilt wijzigen.

Registersleutels

Waarde en beschrijving

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Een waarde van 1 schakelt de Windows AutoUpdate van de vertrouwde CTL uit.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate

Een waarde van 1 schakelt de Windows AutoUpdate van de niet-vertrouwde CTL in.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl

Configureert de gedeelde locatie (het HTTP- of het FILE-pad).

De volgende opties zijn toegevoegd aan Certutil:

Syntaxis

Beschrijving

Voorbeeld

CertUtil [Options] -syncWithWU DestinationDir

Synchroniseren met Windows Update.

  • DestinationDir is de map die de bestanden ontvangt door gebruik van het mechanisme voor automatisch bijwerken.

  • De volgende bestanden worden gedownload door gebruik van het mechanisme voor automatisch bijwerken:

    • Het bestand authrootstl.cab bevat de CTL's van niet-Microsoft-basiscertificaten.

    • Het bestand disallowedcertstl.cab bevat de CTL's van niet-vertrouwde certificaten.

    • Het bestand disallowedcert.sst bevat het archief met van serienummer voorziene certificaten, inclusief de niet-vertrouwde certificaten.

    • <thumbprint>.crt bevat de niet-Microsoft-basiscertificaten.

CertUtil -syncWithWU \\server1\PKI\CTLs

CertUtil [Options] -generateSSTFromWU SSTFile

SST genereren met behulp van het mechanisme voor automatisch bijwerken.

SSTFILE: het SST-bestand dat moet worden gemaakt. Het gegenereerde .sst-bestand bevat de niet-Microsoft-basiscertificaten die gedownload zijn met behulp van het mechanisme voor automatisch bijwerken.

CertUtil –generateSSTFromWU TRoots.sst

System_CAPS_tipTip

Certutil -SyncWithWU -f <folder> werkt bestaande bestanden in de doelmap bij.

Certutil -syncWithWU -f -f <folder> verwijdert en vervangt bestanden in de doelmap.

De volgende fouten en waarschuwingen kunnen voorkomen wanneer u de opdracht Certutil -syncWithWU uitvoert:

  • Als u een niet-bestaand lokaal pad of een niet-bestaande lokale map gebruikt als doelmap, ziet u de volgende fout:

    Het systeem kan het opgegeven bestand niet vinden. 0x80070002 (WIN32: 2 FOUT_BESTAND_NIET_GEVONDEN)

  • Als u een niet-bestaande of niet-beschikbare netwerklocatie als doelmap gebruikt, ziet u de volgende fout:

    De netwerknaam kan niet worden gevonden. 0X80070043 (WIN32: 67 FOUT_ONGELDIGE_NET_NAAM)

  • Als uw server geen verbinding kan maken met de Microsoft Automatic Update-servers via TCP-poort 80 ziet u de volgende fout:

    Er kon geen verbinding met de server tot stand worden gebracht 0x80072efd (INet: 12029 FOUT_INTERNET_KAN_NIET_VERBINDEN)

  • Als uw server de Microsoft Automatic Update-servers niet kan bereiken met de DNS-naam ctldl.windowsupdate.com, ziet u de volgende fout:

    De servernaam of het serveradres kon niet worden omgezet 0x80072ee7 (INet: 12007 FOUT_INTERNET_NAAM_NIET_OMGEZET).

  • Als u de -f-switch niet gebruikt en een van de CTL-bestanden al bestaat in de map, krijgt u een foutmelding dat het bestand al bestaat:

    CertUtil: syncWithWU-opdracht MISLUKT: 0x800700b7 (WIN32/HTTP: 183 FOUT_BESTAAT_AL) Certutil: Kan een bestand niet maken wanneer dat bestand al bestaat.

  • Als er een wijziging is in de vertrouwde basiscertificaten ziet u: 'Waarschuwing! De volgende niet langer vertrouwde basiscertificaten zijn gevonden: <bestandspad>\<thumbprint>.crt. Gebruik -f -f'' opties om verwijderen van de bovenstaande ".crt"-bestanden te forceren. Is 'authrootstl.cab' bijgewerkt? Zo ja, overweeg dan het verwijderen uit te stellen tot alle clientcomputers zijn bijgewerkt.'

Weergeven:
© 2016 Microsoft