Konfigurowanie zaufanych certyfikatów głównych i certyfikatów niedozwolonych

 

Dotyczy: Windows 8.1, Windows Server 2012 R2

Systemy operacyjne Windows Server 2012 R2, Windows Server 2012, Windows 8.1 oraz Windows 8 zawierają mechanizm aktualizacji automatycznych, który zapewnia codzienne pobieranie list zaufania certyfikatów (CTL). W systemach Windows Server 2012 R2 i Windows 8.1 dostępne są dodatkowe funkcje służące do kontrolowania sposobu aktualizowania list CTL.

System_CAPS_ICON_important.jpg Ważne


Aktualizacje oprogramowania są dostępne dla systemów Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 i Windows Vista. Aby skorzystać z omówionych w tym dokumencie rozszerzeń mechanizmu aktualizacji automatycznych, zastosuj następujące aktualizacje:

  • W systemach Windows Server 2008 R2, Windows Server 2008, Windows 7 i Windows Vista należy zastosować odpowiednią aktualizację wymienioną w dokumencie 2677070 w bazie wiedzy Microsoft Knowledge Base.
  • W systemach Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 i Windows Vista należy zastosować odpowiednią aktualizację wymienioną w dokumencie 2813430 w bazie wiedzy Microsoft Knowledge Base.

Program certyfikatów głównych firmy Microsoft umożliwia rozpowszechnianie zaufanych certyfikatów głównych w systemach operacyjnych Windows. Aby uzyskać więcej informacji dotyczących listy członków w programie certyfikatów głównych systemu Windows, zobacz Program certyfikatów głównych systemu Windows — lista członków (wszystkie urzędy certyfikacji).

Zaufane certyfikaty główne są przeznaczone do umieszczania w certyfikacie zaufanych głównych urzędów certyfikacji systemów operacyjnych Windows. Certyfikaty te są zaufane w systemie operacyjnym i mogą być używane na potrzeby aplikacji jako odniesienie, dla którego certyfikaty cyfrowe i hierarchie infrastruktury kluczy publicznych (PKI) są zaufane. Istnieją dwie metody rozpowszechniania zaufanych certyfikatów głównych:

  1. Automatyczna: lista zaufanych certyfikatów głównych jest przechowywana na liście CTL. Komputery klienckie uzyskują dostęp do witryny Windows Update za pomocą mechanizmu aktualizacji automatycznych, aby zaktualizować tę listę CTL.

    System_CAPS_ICON_note.jpg Uwaga


    Lista zaufanych certyfikatów głównych nosi nazwę zaufanej listy CTL.

  2. Ręczna: lista zaufanych certyfikatów głównych jest dostępna jako samowyodrębniający się pakiet IEXPRESS w Centrum pobierania firmy Microsoft, w wykazie systemu Windows lub za pomocą programu Windows Server Update Services (WSUS). Pakiety IEXPRESS są wydawane w tym samym czasie jako zaufane listy CTL.

System_CAPS_ICON_note.jpg Uwaga


Aby uzyskać więcej informacji o tych metodach aktualizacji, zobacz dokument 931125 w bazie wiedzy Microsoft Knowledge Base.

Certyfikaty niezaufane to certyfikaty, które są powszechnie znane jako fałszywe. Podobnie jak w przypadku zaufanej listy CTL istnieją dwa mechanizmy, które są używane do rozpowszechniania listy certyfikatów niezaufanych:

  1. Automatyczny: lista certyfikatów niezaufanych jest przechowywana na liście CTL. Komputery klienckie uzyskują dostęp do witryny Windows Update za pomocą mechanizmu aktualizacji automatycznych, aby zaktualizować tę listę CTL.

    System_CAPS_ICON_note.jpg Uwaga


    Lista certyfikatów niezaufanych nosi nazwę niezaufanej listy CTL. Aby uzyskać więcej informacji, zobacz temat Announcing the automated updater of untrustworthy certificates and keys (Zapowiedź automatycznych aktualizacji niezaufanych certyfikatów i kluczy).

  2. Ręczny: lista certyfikatów niezaufanych jest dostępna jako samowyodrębniający się pakiet IEXPRESS w obrębie obowiązkowych zabezpieczeń usługi Windows Update.

W systemach starszych niż Windows Server 2012 R2 i Windows 8.1 (lub w przypadku wspomnianej wcześniej instalacji aktualizacji oprogramowania) to ustawienie rejestru umożliwiało kontrolowanie aktualizacji zaufanych certyfikatów głównych i certyfikatów niezaufanych. Administrator nie mógł selektywnie włączać bądź wyłączać jednej lub drugiej opcji. W rezultacie zidentyfikowano następujące trudność:

  • Jeśli organizacja działała w środowisku bez połączenia, jedyną metodą aktualizacji list CTL było zastosowanie pakietów IEXPRESS.

    System_CAPS_ICON_note.jpg Uwaga


    Sieć komputerowa, w której komputery nie mają dostępu do witryny Windows Update, jest w tym dokumencie traktowana jako środowisko bez połączenia.

    Metoda aktualizacji pakietu IEXPRESS to przede wszystkim proces ręczny. Ponadto pakiet IEXPRESS może nie być dostępny natychmiast po wydaniu listy CTL, a to może skutkować dodatkowym opóźnieniem instalowania tych aktualizacji przy użyciu tej metody.

  • Chociaż wyłączanie automatycznych aktualizacji zaufanych list CTL jest zalecane dla administratorów, którzy zarządzają swoimi listami zaufanych certyfikatów głównych (w środowiskach bez połączenia lub połączonych), wyłączanie automatycznych aktualizacji niezaufanych list CTL nie jest zalecane.

    Aby uzyskać więcej informacji, zobacz temat Controlling the Update Root certificate Certificates Feature to Prevent the Flow of Information to and from the Internet (Kontrolowanie funkcji aktualizacji certyfikatów głównych w celu uniemożliwienia przepływu informacji do i z Internetu).

  • Ze względu na brak metody, przy użyciu której administratorzy sieci mogą wyświetlać i wyodrębniać tylko zaufane certyfikaty główne w obrębie zaufanej listy CTL, zarządzanie niestandardową listą zaufanych certyfikatów było trudne.

W środowisku bez połączenia w systemach Windows Server 2012 R2 i Windows 8.1 lub po zainstalowaniu odpowiedniej aktualizacji oprogramowania są dostępne następujące ulepszone mechanizmy aktualizacji automatycznych:

  • Ustawienia rejestru pod kątem przechowywania list CTL Nowe ustawienia umożliwiające zmienianie lokalizacji na potrzeby przekazywania zaufanych lub niezaufanych list CTL z witryny Windows Update do lokalizacji udostępnionej w organizacji. Aby uzyskać więcej informacji, zobacz sekcję Zmodyfikowane ustawienia rejestru.

  • Opcje synchronizacji Jeśli adres URL witryny Windows Update zostanie przeniesiony do lokalnego folderu udostępnionego, lokalny folder udostępniony musi zostać zsynchronizowany z folderem usługi Windows Update. Ta aktualizacja oprogramowania dodaje zestaw opcji narzędzia Certutil, które umożliwiają administratorom włączanie synchronizacji. Aby uzyskać więcej informacji, zobacz sekcję Nowe opcje narzędzia Certutil.

  • Narzędzie do wybierania zaufanych certyfikatów głównych Ta aktualizacja oprogramowania dodaje narzędzie dla administratorów, którzy zarządzają zestawem zaufanych certyfikatów głównych w środowisku przedsiębiorstwa. Administratorzy mogą wyświetlać i wybierać zestaw zaufanych certyfikatów głównych, eksportować go do magazynu certyfikatów seryjnych i rozpowszechniać za pomocą zasad grupy. Aby uzyskać więcej informacji, zobacz sekcję Nowe opcje narzędzia Certutil w tym dokumencie.

  • Niezależnie konfigurowalne Mechanizmy aktualizacji automatycznych certyfikatów zaufanych i niezaufanych mogą być konfigurowane niezależnie. Dzięki temu administratorzy mogą używać mechanizmu aktualizacji automatycznych do pobierania tylko niezaufanych list CTL i zarządzać własną listą zaufanych list CTL. Aby uzyskać więcej informacji, zobacz sekcję Zmodyfikowane ustawienia rejestru w tym dokumencie.

W systemach Windows Server 2012 R2 i Windows 8.1 (lub dzięki zainstalowaniu wymienionych wcześniej aktualizacji oprogramowania w obsługiwanych systemach operacyjnych) administrator może skonfigurować serwer plików lub serwer sieci Web do pobierania następujących plików za pomocą mechanizmu aktualizacji automatycznych:

  • authrootstl.cab, który zawiera listę CTL inną niż firmy Microsoft;

  • disallowedcertstl.cab, który zawiera listę CTL z certyfikatami niezaufanymi;

  • disallowedcert.sst, który zawiera magazyn certyfikatów seryjnych, w tym certyfikaty niezaufane;

  • odcisk palca.crt, który zawiera certyfikaty główne inne niż firmy Microsoft.

Poszczególne etapy konfiguracji opisano w sekcji Konfigurowanie serwera plików lub serwera sieci Web do pobierania plików CTL tego dokumentu.

W systemach Windows Server 2012 R2 i Windows 8.1 (lub dzięki zainstalowaniu wymienionych wcześniej aktualizacji oprogramowania w obsługiwanych systemach operacyjnych) administrator może:

System_CAPS_ICON_important.jpg Ważne

  • Wszystkie kroki opisane w tym dokumencie wymagają użycia konta należącego do lokalnej grupy Administrators. Wszystkie kroki konfiguracji usług domenowych Active Directory (AD DS) wymagają użycia konta należącego do grupy Domain Admins lub konta, do którego oddelegowano odpowiednie uprawnienia.

  • Procedury przedstawione w tym dokumencie zależą od tego, czy używany będzie co najmniej jeden komputer, który może połączyć się z Internetem, aby pobrać listy CTL od firmy Microsoft. Aby było możliwe nawiązanie kontaktu z witryną ctldl.windowsupdate.com, wymagane są: dostęp do komputera za pośrednictwem protokołu HTTP (port TCP 80) oraz obsługa rozpoznawania nazw (port TCP i UDP 53) Ten komputer może być elementem członkowskim domeny lub elementem członkowskim grupy roboczej. Obecnie dla wszystkich pobieranych plików wymagane jest około 1,5 MB miejsca.

  • Ustawienia opisane w tym dokumencie są implementowane przy użyciu obiektów zasad grupy. Ustawienia te nie zostaną automatycznie usunięte, jeśli obiekt zasad grupy zostanie rozłączony lub usunięty z domeny usług AD DS. Zaimplementowane ustawienia można zmienić tylko za pomocą obiektu zasad grupy lub przez modyfikację rejestru odpowiednich komputerów.

  • Kwestie omówione w tym dokumencie są niezależne od usług Windows Server Update Services (WSUS).

    • W celu zaimplementowania konfiguracji omówionych w tym dokumencie nie trzeba używać usług WSUS.
    • Jeśli używasz usług WSUS, te instrukcje nie wpłyną na jego działanie.
    • Zaimplementowanie usług WSUS nie zastępuje zaimplementowania konfiguracji omówionych w tym dokumencie.

Aby ułatwić rozpowszechnienie certyfikatów zaufanych lub niezaufanych w środowisku bez połączenia, najpierw należy skonfigurować serwer plików lub serwer sieci Web do pobierania plików CTL z poziomu mechanizmu aktualizacji automatycznych.

System_CAPS_ICON_tip.jpg Porada


Konfiguracja opisana w tej sekcji nie jest wymagana w przypadku środowisk, w których komputery będą mogły bezpośrednio łączyć się z witryną Windows Update. Komputery, które mogą łączyć się z witryną Windows Update, będą mogły codziennie otrzymywać zaktualizowane listy CTL (jeśli są na nich uruchamiane systemy Windows Server 2012, Windows 8 bądź wymienione wcześniej aktualizacje oprogramowania zostały zainstalowane w obsługiwanych systemach operacyjnych). Aby uzyskać więcej informacji, zobacz dokument 2677070 w bazie wiedzy Microsoft Knowledge Base.

Aby skonfigurować serwer z dostępem do Internetu do pobierania plików CTL

  1. Na serwerze plików lub serwerze sieci Web utwórz folder udostępniony, który będzie można zsynchronizować przy użyciu mechanizmu aktualizacji automatycznych i w którym chcesz przechowywać pliki CTL.

    System_CAPS_ICON_tip.jpg Porada


    Przed rozpoczęciem konieczne może być dostosowanie uprawnień do folderu udostępnionego i uprawnień folderu NTFS tak, aby umożliwić uzyskiwanie dostępu do odpowiedniego konta. Jest to szczególnie ważne w przypadku korzystania z zadania zaplanowanego wraz z kontem usługi. Aby uzyskać więcej informacji na temat dostosowywania uprawnień, zobacz temat Zarządzanie uprawnieniami do folderów udostępnionych.

  2. Korzystając z wiersza polecenia z podwyższonym poziomem uprawnień, uruchom następujące polecenie:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    Zastąp element <server> rzeczywistą nazwą serwera, a element <share> nazwą folderu udostępnionego. Na przykład polecenie uruchamiane dla serwera o nazwie serwer_1 i folderu udostępnionego o nazwie CTL będzie wyglądało następująco:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. Pobierz pliki CTL na serwer, do którego komputery w środowisku bez połączenia mogą uzyskiwać dostęp za pomocą ścieżki FILE (na przykład FILE://\\serwer_1\CTL) lub ścieżki HTTP (na przykład HTTP://serwer_1/CTL).

System_CAPS_ICON_note.jpg Uwaga

  • Jeśli serwer, na którym synchronizowane są listy CTL, nie jest dostępny z komputerów w środowisku bez połączenia, należy wybrać inną metodę transferu danych. Możesz na przykład zezwolić jednemu z komputerów należących do domeny na połączenie z serwerem, a następnie zaplanować inne zadanie na komputerze członkowskim domeny, aby pobrać informacje do folderu udostępnionego na wewnętrznym serwerze sieci Web. W przypadku braku jakiegokolwiek połączenia z siecią konieczne może być ręczne przetransferowanie plików, na przykład na wymiennym urządzeniu magazynującym.
  • Jeśli planujesz korzystanie z serwera sieci Web, utwórz nowy katalog wirtualny na potrzeby plików CTL. Kroki tworzenia katalogu wirtualnego przy użyciu Internetowych usług informacyjnych (IIS) są prawie takie same dla wszystkich obsługiwanych systemów operacyjnych omówionych w tym dokumencie. Aby uzyskać więcej informacji, zobacz Tworzenie katalogu wirtualnego (IIS7).
  • Pamiętaj, że określone foldery systemowe i foldery aplikacji w systemie Windows będą podlegały specjalnej ochronie. Na przykład w przypadku folderu inetpub są wymagane specjalne uprawnienia dostępu, co utrudnia utworzenie folderu udostępnionego do użycia z zaplanowanym zadaniem transferu plików. Jako administrator zwykle możesz utworzyć lokalizację folderu w katalogu głównym systemu dysku logicznego na potrzeby transferu plików.

Jeśli komputery w sieci są skonfigurowane w środowisku domeny i nie mogą używać mechanizmu aktualizacji automatycznych ani pobierać list CTL, można zaimplementować obiekt zasad grupy w usługach AD DS, aby skonfigurować te komputery do uzyskiwania aktualizacji list CTL z innej lokalizacji.

System_CAPS_ICON_note.jpg Uwaga


Konfiguracja opisana w tej sekcji wymaga wcześniejszego wykonania kroków z części Konfigurowanie serwera plików lub serwera sieci Web do pobierania plików CTL.

Aby skonfigurować niestandardowy szablon administracyjny dla obiektu zasad grupy

  1. Utwórz nowy szablon administracyjny w obrębie kontrolera domeny. W tym celu możesz początkowo użyć pliku tekstowego, a następnie zmienić rozszerzenie nazwy pliku na adm. Zawartość pliku powinna być następująca:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Zapisując plik, użyj nazwy opisowej, takiej jak URLKatGlownego.adm.

    System_CAPS_ICON_tip.jpg Porada

    • Dopilnuj, aby nazwa pliku miała rozszerzenie adm, a nie txt.
    • Jeśli wyświetlanie rozszerzeń nazw plików nie jest jeszcze włączone, zobacz temat How To: View File Name Extensions (Jak: wyświetlić rozszerzenia nazw plików).
    • Jeśli plik zostanie zapisany w folderze %windir%\inf, będzie łatwiejszy do znalezienia w przypadku wykonywania poniższych kroków.
  3. Otwórz Edytor zarządzania zasadami grupy.

    • Jeśli używasz systemu Windows Server 2008 R2 lub Windows Server 2008, kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

    • Jeśli używasz systemu Windows Server 2012 R2 lub Windows Server 2012, naciśnij jednocześnie klawisz Windows i klawisz R.

    Wpisz GPMC.msc, a następnie naciśnij klawisz ENTER.

    System_CAPS_ICON_caution.jpg Przestroga


    Możesz połączyć nowy obiekt zasad grupy z domeną lub dowolną jednostką organizacyjną. Modyfikacje obiektu zasad grupy zaimplementowane w tym dokumencie powodują zmianę ustawień rejestru odpowiednich komputerów. Ustawień tych nie można cofnąć przez usunięcie lub odłączenie obiektu zasad grupy. Aby cofnąć te ustawienia, należy je odwrócić w ustawieniach obiektu zasad grupy lub zmodyfikować rejestr przy użyciu innej techniki.

  4. W konsoli zarządzania zasadami grupy rozwiń obiekt Las, rozwiń obiekt Domeny, a następnie rozwiń określoną domenę zawierającą konta komputerów, które chcesz zmienić. Jeśli chcesz zmodyfikować określoną jednostkę organizacyjną, przejdź do jej lokalizacji. Kliknij istniejący obiekt zasad grupy lub kliknij prawym przyciskiem myszy, a następnie kliknij pozycję Utwórz obiekt zasad grupy w tej domenie i umieść tu link, aby utworzyć nowy obiekt zasad. Kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz zmodyfikować, a następnie kliknij polecenie Edytuj.

  5. W okienku nawigacji w obszarze Konfiguracja komputera rozwiń węzeł Zasady.

  6. Kliknij prawym przyciskiem myszy pozycję Szablony administracyjne, a następnie kliknij polecenie Dodaj/Usuń szablony.

  7. W oknie Dodawanie/usuwanie szablonów kliknij przycisk Dodaj. W oknie dialogowym Szablony zasad wybierz zapisany wcześniej szablon o rozszerzeniu adm. Kliknij przycisk Otwórz, a następnie kliknij przycisk Zamknij.

  8. W okienku nawigacji rozwiń węzeł Szablony administracyjne, a następnie rozwiń węzeł Klasyczne szablony administracyjne (ADM).

  9. Kliknij pozycję Windows AutoUpdate Settings (Ustawienia funkcji Aktualizacje automatyczne systemu Windows), a następnie w okienku szczegółów kliknij dwukrotnie pozycję URL address to be used instead of default ctldl.windowsupdate.com (Adres URL do użycia zamiast domyślnej witryny ctldl.windowsupdate.com).

  10. Wybierz opcję Włączona. W sekcji Opcje wprowadź adres URL serwera plików lub serwera sieci Web, który zawiera pliki CTL. Na przykład http://serwer_1/CTL lub file://\\serwer_1\CTL. Kliknij przycisk OK. Zamknij Edytor zarządzania zasadami grupy.

Zasady zaczną obowiązywać natychmiast, ale aby zastosować nowe ustawienia na komputerach klienckich, należy je ponownie uruchomić lub wpisać gpupdate /force w wierszu polecenia z podwyższonym poziomem uprawnień lub w środowisku Windows PowerShell.

System_CAPS_ICON_important.jpg Ważne


Zaufane i niezaufane listy CTL mogą być aktualizowane codziennie, dlatego pamiętaj o synchronizowaniu plików przy użyciu zaplanowanego zadania lub innej metody (na przykład skryptu obsługującego błędy) w celu aktualizowania folderu udostępnionego lub katalogu wirtualnego sieci Web. Aby uzyskać więcej informacji o tworzeniu zaplanowanego zadania, zobacz temat Planowanie zadania. Jeśli planujesz napisać skrypt w celu wykonywania codziennych aktualizacji, zobacz sekcje Nowe opcje narzędzia Certutil i Potencjalne błędy polecenia Certutil -SyncWithWU w tym dokumencie. W sekcjach tych można znaleźć więcej informacji na temat opcji polecenia i warunków błędów.

Niektóre organizacje mogą zdecydować, że tylko niezaufane listy CTL (listy CTL inne niż zaufane) mają być aktualizowane automatycznie. W tym celu można utworzyć dwa szablony adm w celu dodania ich do zasad grupy.

System_CAPS_ICON_important.jpg Ważne

  1. W środowisku bez połączenia można używać poniższej procedury razem z poprzednią (przekierowywanie adresu URL usługi aktualizacji automatycznych firmy Microsoft dla zaufanych i niezaufanych list CTL). W ramach tej procedury przedstawiono sposób selektywnego wyłączania automatycznych aktualizacji zaufanych list CTL.
  2. Z procedury tej można korzystać również w środowisku połączonym w odizolowaniu w celu wyłączania automatycznej aktualizacji zaufanych list CTL.

Aby selektywnie przekierować tylko niezaufane listy CTL

  1. Na kontrolerze domeny utwórz pierwszy nowy szablon administracyjny, zaczynając od pliku tekstowego, a następnie zmieniając rozszerzenie nazwy pliku na adm. Zawartość pliku powinna być następująca:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Zapisując plik, użyj nazwy opisowej, takiej jak BlokadaDozwolonychAktualizacjiCTL.adm.

  3. Utwórz drugi nowy szablon administracyjny. Zawartość pliku powinna być następująca:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Zapisując plik, użyj nazwy opisowej, takiej jak WlaczenieAktualizacjiNiezaufanychCTL.adm.

    System_CAPS_ICON_tip.jpg Porada

    • Upewnij się, że nazwy plików mają rozszerzenia adm, a nie txt.
    • Jeśli wyświetlanie rozszerzeń nazw plików nie jest jeszcze włączone, zobacz temat How To: View File Name Extensions (Jak: wyświetlić rozszerzenia nazw plików).
    • Jeśli plik zostanie zapisany w folderze %windir%\inf, będzie łatwiejszy do znalezienia w przypadku wykonywania poniższych kroków.
  5. Otwórz Edytor zarządzania zasadami grupy.

  6. W konsoli zarządzania zasadami grupy rozwiń kolejno węzły Las i Domeny, a następnie rozwiń obiekt domeny, który chcesz zmodyfikować. Kliknij prawym przyciskiem myszy pozycję Obiekt zasad grupy domyślnych zasad domeny, a następnie kliknij polecenie Edytuj.

  7. W okienku nawigacji w obszarze Konfiguracja komputera rozwiń węzeł Zasady.

  8. Kliknij prawym przyciskiem myszy pozycję Szablony administracyjne, a następnie kliknij polecenie Dodaj/Usuń szablony.

  9. W oknie Dodawanie/usuwanie szablonów kliknij przycisk Dodaj. W oknie dialogowym Szablony zasad możesz wybrać poprzednio zapisane szablony o rozszerzeniu adm. (Aby zaznaczyć oba pliki, przytrzymaj naciśnięty klawisz CTRL i kliknij każdy z plików). Kliknij przycisk Otwórz, a następnie kliknij przycisk Zamknij.

  10. W okienku nawigacji rozwiń węzeł Szablony administracyjne, a następnie rozwiń węzeł Klasyczne szablony administracyjne (ADM).

  11. Kliknij pozycję Windows AutoUpdate Settings (Ustawienia funkcji Aktualizacja automatyczna systemu Windows), a następnie w okienku szczegółów kliknij dwukrotnie pozycję Auto Root Update (Automatyczna aktualizacja elementów głównych).

  12. Wybierz opcję Wyłączona. To ustawienie uniemożliwia automatyczne aktualizowanie zaufanych list CTL. Kliknij przycisk OK.

  13. W okienku szczegółów kliknij dwukrotnie pozycję Untrusted CTL Automatic Update (Automatyczna aktualizacja niezaufanych list CTL). Wybierz opcję Włączona. Kliknij przycisk OK.

Zasady zaczną obowiązywać natychmiast, ale aby zastosować nowe ustawienia na komputerach klienckich, należy je ponownie uruchomić lub wpisać gpupdate /force w wierszu polecenia z podwyższonym poziomem uprawnień lub w środowisku Windows PowerShell.

System_CAPS_ICON_important.jpg Ważne


Zaufane i niezaufane listy CTL mogą być aktualizowane codziennie, dlatego pamiętaj o synchronizowaniu plików przy użyciu zaplanowanego zadania lub innej metody w celu aktualizowania folderu udostępnionego lub katalogu wirtualnego.

W tej sekcji opisano sposób tworzenia, przeglądania i filtrowania zaufanych list CTL, których mają używać komputery w organizacji. Aby umożliwić korzystanie z tego rozwiązania, należy zaimplementować obiekty zasad grupy opisane w ramach poprzednich procedur. To rozwiązanie jest dostępne dla środowisk połączonych i bez połączenia.

W celu dostosowania listy zaufanych list CTL należy wykonać dwie procedury:

  1. Utworzenie podzestawu zaufanych certyfikatów

  2. Rozpowszechnienie zaufanych certyfikatów przy użyciu zasad grupy

Aby utworzyć podzestaw zaufanych certyfikatów

  1. Na komputerze połączonym z Internetem uruchom środowisko Windows PowerShell jako administrator lub otwórz wiersz polecenia z podwyższonym poziomem uprawnień i wpisz następujące polecenie:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. Aby otworzyć plik WURoots.sst w Eksploratorze Windows, można uruchomić następujące polecenie:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg Porada


    Można również przejść do pliku w programie Internet Explorer, a następnie dwukrotnie kliknąć ten plik, aby go otworzyć. W zależności od miejsca przechowywania pliku można go również otworzyć, wpisując wuroots.sst.

  3. W okienku nawigacji Menedżera certyfikatów rozwijaj ścieżkę pliku w obszarze Certyfikaty -bieżący użytkownik do momentu wyświetlenia pozycji Certyfikaty, a następnie kliknij pozycję Certyfikaty.

  4. Zaufane certyfikaty zostaną wyświetlone w okienku szczegółów. Naciśnij i przytrzymaj klawisz CTRL, a następnie kliknij poszczególne certyfikaty, na których używanie chcesz zezwolić. Po wybraniu wszystkich certyfikatów, na których używanie chcesz zezwolić, kliknij prawym przyciskiem myszy jeden z tych certyfikatów, kliknij polecenie Wszystkie zadania, a następnie kliknij pozycję Eksportuj.

    System_CAPS_ICON_important.jpg Ważne


    Aby wyeksportować typ pliku sst, należy wybrać co najmniej dwa certyfikaty. Jeśli wybierzesz tylko jeden certyfikat, typ pliku sst nie będzie dostępny, a w zamian zostanie wybrany typ pliku cer.

  5. W Kreatorze eksportu certyfikatów kliknij przycisk Dalej.

  6. Na stronie Format pliku eksportu wybierz opcję Magazyn certyfikatów seryjnych firmy Microsoft (SST), a następnie kliknij przycisk Dalej.

  7. Na stronie Eksport pliku wprowadź ścieżkę pliku i odpowiednią nazwę tego pliku, na przykład C:\AllowedCerts.sst, a następnie kliknij przycisk Dalej. Kliknij przycisk Zakończ. Po wyświetleniu powiadomienia o pomyślnym zakończeniu eksportu kliknij przycisk OK.

  8. Skopiuj utworzony plik sst na kontroler domeny.

Aby rozpowszechnić listę zaufanych certyfikatów przy użyciu zasad grupy

  1. Na kontrolerze domeny z dostosowanym plikiem sst otwórz Edytor zarządzania zasadami grupy.

  2. W konsoli zarządzania zasadami grupy rozwiń kolejno węzły Las i Domeny, a następnie rozwiń obiekt domeny, który chcesz zmodyfikować. Kliknij prawym przyciskiem myszy pozycję Obiekt zasad grupy domyślnych zasad domeny, a następnie kliknij polecenie Edytuj.

  3. W okienku nawigacji w obszarze Konfiguracja komputera rozwiń kolejno węzły Zasady, Ustawienia systemu Windows i Ustawienia zabezpieczeń, a następnie rozwiń węzeł Zasady kluczy publicznych.

  4. Kliknij prawym przyciskiem myszy pozycję Zaufane główne urzędy certyfikacji, a następnie kliknij polecenie Importuj.

  5. W Kreatorze importu certyfikatów kliknij przycisk Dalej.

  6. Wprowadź ścieżkę i nazwę pliku, który został skopiowany na kontroler domeny, lub użyj przycisku Przeglądaj, aby zlokalizować ten plik. Kliknij przycisk Dalej.

  7. Potwierdź, że chcesz umieścić te certyfikaty w magazynie certyfikatów Zaufane główne urzędy certyfikacji, klikając przycisk Dalej. Kliknij przycisk Zakończ. Po wyświetleniu powiadomienia o pomyślnym zakończeniu importu certyfikatów kliknij przycisk OK.

  8. Zamknij Edytor zarządzania zasadami grupy.

Zasady zaczną obowiązywać natychmiast, ale aby zastosować nowe ustawienia na komputerach klienckich, należy je ponownie uruchomić lub wpisać gpupdate /force w wierszu polecenia z podwyższonym poziomem uprawnień lub w środowisku Windows PowerShell.

Ustawienia opisane w tym dokumencie służą do konfigurowania poniższych kluczy rejestru na komputerach klienckich. Ustawienia te nie zostaną automatycznie usunięte, jeśli obiekt zasad grupy zostanie rozłączony lub usunięty z domeny. Aby je zmienić, należy je specjalnie skonfigurować.

Klucze rejestruWartość i opis
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateWartość 1 powoduje wyłączenie funkcji automatycznej aktualizacji systemu Windows dla zaufanych list CTL.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateWartość 1 powoduje włączenie funkcji automatycznej aktualizacji systemu Windows dla niezaufanych list CTL.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlUmożliwia skonfigurowanie lokalizacji udostępnionej (ścieżka typu HTTP lub FILE).

Do narzędzia Certutil dodano następujące opcje:

SkładniaOpisPrzykład
CertUtil [Opcje] -syncWithWU DestinationDirSynchronizacja z usługą Windows Update.

 
  • DestinationDir to folder, w którym pliki są odbierane za pomocą mechanizmu aktualizacji automatycznych.
  • Przy użyciu mechanizmu aktualizacji automatycznych są pobierane następujące pliki:

     
    • authrootstl.cab, który zawiera listy CTL certyfikatów głównych innych niż firmy Microsoft.
    • disallowedcertstl.cab, który zawiera listy CTL certyfikatów niezaufanych.
    • disallowedcert.sst, który zawiera magazyn certyfikatów seryjnych, w tym certyfikaty niezaufane.
    • <thumbprint>.crt zawiera certyfikaty główne inne niż firmy Microsoft.
CertUtil -syncWithWU \\serwer_1\PKI\Listy_CTL
CertUtil [Opcje] -generateSSTFromWU SSTFileGenerowanie pliku SST za pomocą mechanizmu aktualizacji automatycznych.

SSTFile: plik .sst do utworzenia. Wygenerowany plik sst zawiera certyfikaty główne inne niż firmy Microsoft, które zostały pobrane przy użyciu mechanizmu aktualizacji automatycznych.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg Porada


Certutil -SyncWithWU -f <folder> powoduje aktualizację istniejących plików w folderze docelowym.

Certutil -syncWithWU -f -f <folder> powoduje usunięcie i zastąpienie plików w folderze docelowym.

Podczas uruchamiania polecenia Certutil -syncWithWU mogą wystąpić następujące błędy i ostrzeżenia:

  • Jeśli ścieżka lub folder lokalny używany jako folder docelowy nie istnieje, zostanie wyświetlony następujący błąd:

    System nie może odnaleźć określonego pliku. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Jeśli lokalizacja sieciowa używana jako folder docelowy nie istnieje lub jest niedostępna, zostanie wyświetlony następujący błąd:

    Nie można odnaleźć nazwy sieci. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Jeśli serwer nie może połączyć się przez port TCP 80 z serwerami aktualizacji automatycznych firmy Microsoft, zostanie wyświetlony następujący błąd:

    Nie można ustanowić połączenia z serwerem 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Jeśli serwer nie może się połączyć z serwerami aktualizacji automatycznych firmy Microsoft za pośrednictwem witryny ctldl.windowsupdate.com dla nazwy DNS, zostanie wyświetlony następujący błąd:

    Nie można określić nazwy serwera lub adresu 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Jeśli nie użyjesz przełącznika -f, a katalog zawiera dowolny plik listy CTL, zostanie wyświetlony błąd dotyczący istniejącego pliku:

    CertUtil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: nie można utworzyć pliku, który już istnieje.

  • Jeśli do zaufanych certyfikatów głównych będzie wprowadzona zmiana, zostanie wyświetlony następujący komunikat: „Ostrzeżenie! Napotkano następujące certyfikaty główne, które nie są już zaufane: <ścieżka do folderu>\<odcisk palca>.crt. Użyj opcji „-f -f”, aby wymusić usunięcie powyższych plików „crt”. Czy plik „authrootstl.cab” został zaktualizowany? Jeśli tak, rozważ opóźnienie usunięcia do momentu zaktualizowania wszystkich klientów”.

Pokaż: