Configurar certificados confiáveis e não permitidos

 

Aplicável a: Windows 8.1, Windows Server 2012 R2

Os sistemas operacionais R2 do Windows Server 2012, Windows Server 2012, Windows 8.1 e Windows 8 incluem um mecanismo de atualização automática que baixa listas de certificados confiáveis (CTLs) diariamente. No R2 do Windows Server 2012 e no Windows 8.1, recursos adicionais estão disponíveis para controlar como as CTLs são atualizadas.

System_CAPS_ICON_important.jpg Importante


Atualizações de software estão disponíveis para Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 e Windows Vista. Para fornecer os aprimoramentos do mecanismo de atualização automática que são abordados neste documento, aplique as seguintes atualizações:

  • Para Windows Server 2008 R2, Windows Server 2008, Windows 7 ou Windows Vista, aplique a atualização apropriada listada no documento 2677070 na Base de Dados de Conhecimento Microsoft.
  • Para Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 ou Windows Vista, aplique a atualização apropriada listada no documento 2813430 na Base de Dados de Conhecimento Microsoft.

O Microsoft Root Certificate Program habilita a distribuição de certificados raiz confiáveis nos sistemas operacionais Windows. Para obter mais informações sobre a lista de membros presentes no Windows Root Certificate Program, confira Windows Root Certificate Program - Lista de membros (Todas as CAs).

Os certificados raiz confiáveis devem ser colocados no certificado Autoridades de Certificação Confiáveis dos sistemas operacionais Windows. Esses certificados são confiáveis pelo sistema operacional e podem ser usados por aplicativos como uma referência para a qual as hierarquias de PKI (infraestrutura de chave pública) e os certificados digitais são confiáveis. Existem dois métodos para distribuir certificados raiz confiáveis:

  1. Automático: a lista de certificados raiz confiáveis é armazenada em uma CTL. Os computadores cliente acessam o site do Windows Update usando o mecanismo de atualização automática para atualizar essa CTL.

    System_CAPS_ICON_note.jpg Observação


    A lista de certificados raiz confiáveis é chamada de CTL confiável.

  2. Manual: a lista de certificados raiz confiáveis está disponível como um pacote IEXPRESS autoextraível no Centro de Download da Microsoft, no catálogo do Windows ou usando o WSUS (Windows Server Update Services). Os pacotes IEXPRESS são liberados ao mesmo tempo que a CTL confiável.

System_CAPS_ICON_note.jpg Observação


Para obter mais informações sobre esses métodos de atualização, confira o documento 931125 na Base de Conhecimento de Dados Microsoft.

Certificados não confiáveis são aqueles publicamente conhecidos como fraudulentos. Semelhante à CTL confiável, existem dois mecanismos usados para distribuir uma lista de certificados não confiáveis:

  1. Automático: a lista de certificados não confiáveis é armazenada em uma CTL. Os computadores cliente acessam o site do Windows Update usando o mecanismo de atualização automática para atualizar essa CTL.

    System_CAPS_ICON_note.jpg Observação


    Uma lista de certificados não confiáveis é chamada de CTL não confiável. Para obter mais informações, confira Anúncio do atualizador automático de chaves e certificados não confiáveis.

  2. Manual: a lista de certificados não confiáveis é fornecida como um pacote IEXPRESS autoextraível em uma segurança obrigatória do Windows Update.

Antes do R2 do Windows Server 2012 e do Windows 8.1 (ou da instalação da atualização do software, conforme abordado anteriormente), a mesma configuração de Registro controlava atualizações para certificados raiz confiáveis e certificados não confiáveis. Um administrador não podia habilitar ou desabilitar seletivamente um ou outro. Isso resultou nos seguintes desafios:

  • Se a organização estava em um ambiente desconectado, o único método para atualizar CTLs era usar pacotes IEXPRESS.

    System_CAPS_ICON_note.jpg Observação


    Uma rede em que os computadores não têm capacidade para acessar o site do Windows Update é considerada um ambiente desconectado neste documento.

    O método de atualização IEXPRESS é, principalmente, um processo manual. Além disso, o pacote IEXPRESS pode não estar imediatamente disponível quando a CTL é liberada, portanto poderá haver um atraso adicional para instalar essas atualizações ao usar esse método.

  • Embora a desabilitação de atualizações automáticas para CTLs confiáveis seja recomendada para os administradores que gerenciam suas listas de certificados raiz confiáveis (em ambientes conectados ou desconectados), não é recomendável desabilitar as atualizações automáticas de CTLs não confiáveis.

    Para obter mais informações, confira Controle do recurso para atualizar certificados raiz para evitar o fluxo de informações para a Internet e proveniente dela.

  • Como não houve um método para os administradores de rede exibirem e extraírem apenas os certificados raiz confiáveis em uma CTL confiável, gerenciar uma lista personalizada de certificados confiáveis era uma tarefa difícil.

Os seguintes mecanismos aprimorados de atualização automática para um ambiente desconectado estão disponíveis no R2 do Windows Server 2012 e no Windows 8.1 ou quando a atualização de software apropriada é instalada:

  • Configurações de Registro para armazenar CTLs As novas configurações permitem alterar o local das CTLs confiáveis ou não confiáveis do site do Windows Update para um local compartilhado em uma organização. Para obter mais informações, confira a seção Configurações do Registro modificadas.

  • Opções de sincronização Se a URL para o site do Windows Update for movida para uma pasta compartilhada local, essa pasta deverá ser sincronizada com a pasta do Windows Update. Essa atualização de software adiciona um conjunto de opções na ferramenta Certutil que os administradores podem usar para habilitar a sincronização. Para obter mais informações, confira a seção Novas opções de Certutil.

  • Ferramenta para selecionar certificados raiz confiáveis Esta atualização de software apresenta uma ferramenta para administradores que gerenciam o conjunto de certificados raiz confiáveis no ambiente de sua empresa. Os administradores podem exibir e selecionar o conjunto de certificados raiz confiáveis, exportá-los para um repositório de certificados serializado e distribuí-los usando a Política de Grupo. Para obter mais informações, confira a seção Novas opções de Certutil neste documento.

  • Capacidade de configuração independente O mecanismo de atualização automática para certificados confiáveis e não confiáveis pode ser configurado de forma independente. Isso permite que os administradores usem o mecanismo de atualização automática para baixar apenas as CTLs não confiáveis e para gerenciar sua própria lista de CTLs confiáveis. Para obter mais informações, confira a seção Configurações do Registro modificadas neste documento.

No R2 do Windows Server 2012 e no Windows 8.1 (ou instalando as atualizações de software mencionadas anteriormente em sistemas operacionais com suporte), um administrador pode configurar um servidor Web ou de arquivos para baixar os seguintes arquivos usando o mecanismo de atualização automática:

  • authrootstl.cab, que contém uma CTL não Microsoft

  • disallowedcertstl.cab, que contém uma CTL com certificados não confiáveis

  • disallowedcert.sst, que contém um repositório de certificados serializado, incluindo certificados não confiáveis

  • thumbprint.crt, que contém certificados raiz não Microsoft

As etapas para executar essa configuração são descritas na seção Configurar um servidor Web ou de arquivos para baixar os arquivos da CTL deste documento.

Ao usar o R2 do Windows Server 2012 e o Windows 8.1 (ou ao instalar as atualizações de software mencionadas anteriormente nos sistemas operacionais com suporte), um administrador pode:

System_CAPS_ICON_important.jpg Importante

  • Todas as etapas mostradas neste documento exigem que você use uma conta que seja membro do grupo Administrators local. Para todas as etapas de configuração do AD DS (Active Directory Domain Services), você deve usar uma conta que seja um membro do grupo Domain Admins ou que tenha recebido as permissões necessárias.

  • Os procedimentos neste documento dependem de ter, pelo menos, um computador que consiga estabelecer conexão com a Internet para baixar as CTLs da Microsoft. O computador exige acesso HTTP (porta TCP 80) e o recurso de resolução de nome (porta TCP e UDP 53) para entrar em contato com ctldl.windowsupdate.com. Esse computador pode ser um membro de domínio ou um membro de um grupo de trabalho. Atualmente, todos os arquivos baixados exigem aproximadamente 1,5 MB de espaço.

  • As configurações descritas neste documento são implementadas usando GPOs. Essas configurações não serão removidas automaticamente se o GPO estiver desvinculado ou removido do domínio AD DS. Quando implementadas, essas configurações podem ser alteradas somente usando um GPO ou modificando o Registro dos computadores afetados.

  • Os conceitos abordados neste documento são independentes de WSUS (Windows Server Update Services).

    • Você não precisa usar WSUS para implementar a configuração abordada neste documento.
    • Se você usar WSUS, estas instruções não afetarão sua funcionalidade.
    • A implementação de WSUS não substitui a implementação das configurações abordadas neste documento.

Para facilitar a distribuição de certificados confiáveis ou não confiáveis para um ambiente desconectado, primeiro é necessário configurar um servidor Web ou de arquivos para baixar os arquivos da CTL do mecanismo de atualização automática.

System_CAPS_ICON_tip.jpg Dica


A configuração descrita nesta seção não é necessária para ambientes em que os computadores podem conectar diretamente ao site do Windows Update. Esses computadores conseguem receber CTLs atualizadas diariamente (se estiverem executando o Windows Server 2012, o Windows 8 ou se as atualizações de software mencionadas anteriormente forem instaladas em sistemas operacionais com suporte). Para obter mais informações, confira o documento 2677070 na Base de dados de Conhecimento da Microsoft.

Para configurar um servidor que tem acesso à Internet para recuperar os arquivos da CTL

  1. Crie uma pasta compartilhada em um servidor Web ou de arquivos que consiga sincronizar usando o mecanismo de atualização automática e que você deseja usar para armazenar os arquivos da CTL.

    System_CAPS_ICON_tip.jpg Dica


    Antes de começar, talvez seja necessário ajustar as permissões da pasta compartilhada e as permissões da pasta NTFS para ter o acesso apropriado à conta, principalmente se você estiver usando uma tarefa planejada com uma conta de serviço. Para obter mais informações sobre o ajuste de permissões, confira Gerenciamento de permissões para pastas compartilhadas.

  2. Em um prompt de comando elevado, execute o seguinte comando:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    Substitua o nome real do servidor para <servidor> e o nome de pasta compartilhada para <compartilhamento>. Por exemplo, se você executar esse comando para um servidor denominado Server1 com uma pasta compartilhada denominada CTL, você executará o comando:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. Baixe os arquivos da CTL em um servidor a que os computadores em um ambiente desconectado possam acessar na rede usando um caminho FILE (por exemplo, FILE://\\Server1\CTL) ou um caminho HTTP (por exemplo, HTTP://Server1/CTL).

System_CAPS_ICON_note.jpg Observação

  • Se o servidor que sincroniza as CTLs não estiver acessível dos computadores no ambiente desconectado, você deverá fornecer outro método para transferir as informações. Por exemplo, você pode permitir que um dos computadores do membro de domínio conecte ao servidor e, em seguida, planeje outra tarefa no computador do membro de domínio para receber informações de uma pasta compartilhada em um servidor Web interno. Se não houver absolutamente nenhuma conexão de rede, convém você usar um processo manual para transferir os arquivos, como um dispositivo de armazenamento removível.
  • Se você planeja usar um servidor Web, crie um novo diretório virtual para os arquivos da CTL. As etapas para criar um diretório virtual usando IIS (Serviços de Informações da Internet) são praticamente as mesmas para todos os sistemas operacionais com suporte abordados neste documento. Para obter mais informações, confira Criar um diretório virtual (IIS7).
  • Esteja ciente que certas pastas de aplicativo e de sistema no Windows têm proteção especial aplicada a elas. Por exemplo, a pasta inetpub exige permissões de acesso especiais, o que dificulta a criação de uma pasta compartilhada para usar com uma tarefa planejada para transferir arquivos. Como administrador, você geralmente consegue criar um local de pasta na raiz de um sistema de unidade lógica para usar nas transferências de arquivos.

Se os computadores em sua rede estiverem configurados em um ambiente de domínio e não conseguirem usar o mecanismo de atualização automática ou baixar CTLs, você poderá implementar um GPO no AD DS para configurar esses computadores para obter as atualizações da CTL de um local alternativo.

System_CAPS_ICON_note.jpg Observação


A configuração nesta seção requer que você já tenha concluído as etapas em Configurar um servidor Web ou de arquivos para baixar os arquivos da CTL.

Para configurar um modelo administrativo personalizado para um GPO

  1. Em um controlador de domínio, crie um novo modelo administrativo. É possível iniciar isso como um arquivo de texto e, em seguida, alterar a extensão do nome do arquivo para .adm. O conteúdo do arquivo deve ser o seguinte:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Use um nome descritivo para salvar o arquivo, como RootDirURL.adm.

    System_CAPS_ICON_tip.jpg Dica

    • Verifique se a extensão do nome do arquivo é .adm e não .txt.
    • Se você ainda não tiver habilitado a exibição de extensão de nome de arquivo, confira Como exibir extensões de nome de arquivo.
    • Se você salvar o arquivo na pasta %windir%\inf, será mais fácil localizá-lo nas etapas a seguir.
  3. Feche o Editor de Gerenciamento de Política de Grupo.

    • Se você estiver usando o Windows Server 2008 R2 ou o Windows Server 2008, clique em Iniciar e em Executar.

    • Se estiver usando o R2 do Windows Server 2012 ou o Windows Server 2012, pressione a tecla Windows mais a tecla R simultaneamente.

    Digite GPMC.msc e pressione ENTER.

    System_CAPS_ICON_caution.jpg Cuidado


    Você pode vincular um novo GPO ao domínio ou a qualquer unidade organizacional. As modificações do GPO implementadas neste documento alteram as configurações de Registro dos computadores afetados. Você não pode desfazer essas configurações excluindo ou desvinculando o GPO. As configurações podem ser desfeitas apenas revertendo-as nas configurações do GPO ou modificando o Registro usando outra técnica.

  4. No console de Gerenciamento de Política de Grupo, expanda o objeto Floresta, expanda o objeto Domínios e expanda o domínio específico que contém as contas do computador que você deseja alterar. Se você tiver uma unidade organizacional específica que deseja modificar, navegue para esse lugar. Clique em um GPO existente ou clique com o botão direito do mouse e clique em Criar um GPO neste domínio e fornecer um link para ele aqui para criar um novo GPO. Clique com o botão direito do mouse no GPO que deseja modificar e clique em Editar.

  5. No painel de navegação, em Configuração do Computador, expanda Políticas.

  6. Clique com o botão direito do mouse em Modelos Administrativos e clique em Adicionar/Remover Modelos.

  7. Em Adicionar/Remover Modelos, clique em Adicionar. Na caixa de diálogo Modelos de Política, selecione o modelo .adm que você salvou anteriormente. Clique em Abrir e em Fechar.

  8. No painel de navegação, expanda Modelos Administrativos e expanda Modelos Administrativos Clássicos (ADM).

  9. Clique nas Configurações de Atualização Automática do Windows e, no painel de detalhes, clique duas vezes em endereço de URL a ser usado, em vez da predefinição ctldl.windowsupdate.com.

  10. Selecione Habilitado. Na seção Opções, insira a URL para o servidor Web ou de arquivos que contém os arquivos da CTL. Por exemplo, http://server1/CTL ou file://\\server1\CTL. Clique em OK. Feche o Editor de Gerenciamento de Política de Grupo.

A política é imediatamente efetivada, mas os computadores clientes devem ser reiniciados para receber as novas configurações, ou você pode digitar gpupdate /force em um prompt de comando elevado ou em Usando o Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


As CTLs confiáveis e não confiáveis podem ser atualizadas diariamente, portanto mantenha os arquivos sincronizados usando uma tarefa planejada ou outro método (como um script que manipula condições de erro) para atualizar a pasta compartilhada ou o diretório virtual Web. Para obter detalhes adicionais sobre a criação de uma tarefa planejada, confira Planejar uma tarefa. Se você planeja escrever um script para fazer atualizações diárias, confira as seções Novas opções de Certutil e Possíveis erros com Certutil -SyncWithWU deste documento. Essas seções fornecem mais informações sobre opções de comando e as condições de erro.

Algumas organizações podem desejar que apenas as CTLs não confiáveis (não as CTLs confiáveis) sejam atualizadas automaticamente. Para realizar isso, você pode criar dois modelos .adm para adicionar à Política de Grupo.

System_CAPS_ICON_important.jpg Importante

  1. Em um ambiente desconectado, você pode usar o procedimento a seguir com o procedimento anterior (redirecionar a URL de Atualização Automática da Microsoft para as CTLs confiáveis e não confiáveis). Este procedimento explica como desabilitar seletivamente a atualização automática de CTLs confiáveis.
  2. Você também pode usar este procedimento em um ambiente conectado em isolamento para desabilitar seletivamente a atualização automática de CTLs confiáveis.

Para redirecionar seletivamente apenas CTLs não confiáveis

  1. Em um controlador de domínio, crie o primeiro modelo administrativo novo iniciando com um arquivo de texto e, em seguida, alterando a extensão do nome do arquivo para .adm. O conteúdo do arquivo deve ser o seguinte:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Use um nome descritivo para salvar o arquivo, como DisableAllowedCTLUpdate.adm.

  3. Crie um segundo modelo administrativo novo. O conteúdo do arquivo deve ser o seguinte:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Use um nome de arquivo descritivo para salvar o arquivo, como EnableUntrustedCTLUpdate.adm.

    System_CAPS_ICON_tip.jpg Dica

    • Verifique se as extensões de nome de arquivo desses arquivos são .adm e não .txt.
    • Se você ainda não tiver habilitado a exibição de extensão de nome de arquivo, confira Como exibir extensões de nome de arquivo.
    • Se você salvar o arquivo na pasta %windir%\inf, será mais fácil localizá-lo nas etapas a seguir.
  5. Feche o Editor de Gerenciamento de Política de Grupo.

  6. No console de Gerenciamento de Política de Grupo, expanda Floresta, Domínios e o objeto de domínio específico que você deseja modificar. Clique com o botão direito do mouse no GPO Política de Domínio Padrão e clique em Editar.

  7. No painel de navegação, em Configuração do Computador, expanda Políticas.

  8. Clique com o botão direito do mouse em Modelos Administrativos e clique em Adicionar/Remover Modelos.

  9. Em Adicionar/Remover Modelos, clique em Adicionar. Use a caixa de diálogo Modelos de Política para selecionar os modelos .adm que você salvou anteriormente. (Você pode manter a tecla CTRL pressionada e clicar em cada arquivo para selecionar ambos.) Clique em Abrir e em Fechar.

  10. No painel de navegação, expanda Modelos Administrativos e expanda Modelos Administrativos Clássicos (ADM).

  11. Clique em Windows AutoUpdate Settings e, no painel de detalhes, clique duas vezes em Atualização Automática de Raiz.

  12. Selecione Desabilitado. Essa configuração impede a atualização automática das CTLs confiáveis. Clique em OK.

  13. No painel de detalhes, clique duas vezes em Untrusted CTL Automatic Update. Selecione Habilitado. Clique em OK.

A política é imediatamente efetivada, mas os computadores clientes devem ser reiniciados para receber as novas configurações, ou você pode digitar gpupdate /force em um prompt de comando elevado ou em Usando o Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


As CTLs confiáveis e não confiáveis podem ser atualizadas diariamente, portanto mantenha os arquivos sincronizados usando uma tarefa planejada ou outro método para atualizar a pasta compartilhada ou o diretório virtual.

Esta seção descreve como você pode produzir, revisar e filtrar as CTLs confiáveis a serem usadas pelos computadores em sua organização. Você deve implementar os GPOs descritos nos procedimentos anteriores para usar esta resolução. Essa resolução está disponível para ambientes conectados e desconectados.

Existem dois procedimentos a serem concluídos para personalizar a lista de CTLs confiáveis.

  1. Criar um subconjunto de certificados confiáveis

  2. Distribuir os certificados confiáveis usando a Política de Grupo

Para criar um subconjunto de certificados confiáveis

  1. Em um computador conectado à Internet, abra o Usando o Windows PowerShell como um Administrador ou abra um prompt de comando elevado e digite o seguinte comando:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. Você pode executar o seguinte comando no Windows Explorer para abrir o WURoots.sst:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg Dica


    Você também pode usar o Internet Explorer para navegar para o arquivo e clicar duas vezes nele para abri-lo. Dependendo de onde você armazenou o arquivo, também poderá abri-lo digitando wuroots.sst.

  3. No painel de navegação do Gerenciador de Certificados, expanda o caminho do arquivo em Certificados - Usuário Atual até você visualizar Certificados e clique em Certificados.

  4. No painel de detalhes, você pode ver os certificados confiáveis. Mantenha a tecla CTRL pressionada e clique em cada um dos certificados que você deseja permitir. Quando você terminar de selecionar os certificados para os quais deseja dar permissão, clique com o botão direito do mouse em um dos certificados selecionados, clique em Todas as Tarefas e em Exportar.

    System_CAPS_ICON_important.jpg Importante


    Selecione, pelo menos, dois certificados para exportar o tipo de arquivo .sst. Se você selecionar apenas um certificado, o tipo de arquivo .sst não estará mais disponível e o tipo de arquivo .cer será selecionado no lugar.

  5. No Assistente para Exportação de Certificados, clique em Avançar.

  6. Na página Formato do Arquivo de Exportação, selecione Repositório de Certificados Serializados da Microsoft (.SST) e clique em Avançar.

  7. Na página Arquivo a Ser Exportado, insira um caminho de arquivo e um nome adequado para o arquivo, como C:\AllowedCerts.sst, e clique em Avançar. Clique em concluir. Quando você receber a notificação de que a exportação foi bem-sucedida, clique em OK.

  8. Copie o arquivo .sst criado para um controlador de domínio.

Para distribuir a lista de certificados confiáveis usando a Política de Grupo

  1. No controlador de domínio que tem o arquivo .sst personalizado, abra o Editor de Gerenciamento de Política de Grupo.

  2. No console de Gerenciamento de Política de Grupo, expanda Floresta, Domínios e o objeto de domínio específico que você deseja modificar. Clique com o botão direito do mouse no GPO Política de Domínio Padrão e clique em Editar.

  3. No painel de navegação, em Configuração do Computador, expanda Políticas, Configurações do Windows, Configurações de Segurança e Políticas de Chave Pública.

  4. Clique com o botão direito do mouse em Autoridades de Certificação Confiáveis e clique em Importar.

  5. No Assistente para Importação de Certificados, clique em Avançar.

  6. Insira o caminho e o nome do arquivo copiado para o controlador de domínio ou use o botão Procurar para localizar o arquivo. Clique em Avançar.

  7. Confirme se você deseja colocar esses certificados no repositório de certificados Autoridades de Certificação Confiáveis clicando em Avançar. Clique em concluir. Quando você receber a notificação de que a importação foi bem-sucedida, clique em OK.

  8. Feche o Editor de Gerenciamento de Política de Grupo.

A política é imediatamente efetivada, mas os computadores clientes devem ser reiniciados para receber as novas configurações, ou você pode digitar gpupdate /force em um prompt de comando elevado ou em Usando o Windows PowerShell.

As configurações descritas neste documento configuram as seguintes chaves de Registro nos computadores clientes. Essas configurações não serão removidas automaticamente se o GPO estiver desvinculado ou removido do domínio AD DS. Essas configurações devem ser especificamente reconfiguradas, se você deseja alterá-las.

Chaves do RegistroValor e Descrição
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateUm valor igual a 1 desabilita a Atualização Automática do Windows da CTL confiável.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateUm valor igual a 1 habilita a Atualização Automática do Windows da CTL não confiável.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlConfigura o local compartilhado (o HTTP ou o caminho FILE).

As opções a seguir foram adicionadas a Certutil:

SintaxeDescriçãoExemplo
CertUtil [Options] -syncWithWU DestinationDirSincronizar com o Windows Update.

 
  • DestinationDir é a pasta que recebe os arquivos usando o mecanismo de atualização automática.
  • Os arquivos a seguir são baixados usando o mecanismo de atualização automática:

     
    • O authrootstl.cab contém as CTLs de certificados raiz não Microsoft.
    • O disallowedcertstl.cab contém as CTLs de certificados não confiáveis.
    • O disallowedcert.sst contém o repositório de certificados serializado, incluindo certificados não confiáveis.
    • <thumbprint>.crt contém os certificados raiz não-Microsoft.
CertUtil -syncWithWU \\server1\PKI\CTLs
CertUtil [Options] -generateSSTFromWU SSTFileGera SST usando o mecanismo de atualização automática.

SSTFile: arquivo .sst a ser criado. O arquivo .sst gerado contém os certificados raiz não Microsoft que foram baixados usando o mecanismo de atualização automática.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg Dica


Certutil -SyncWithWU -f <folder> atualiza arquivos existentes na pasta de destino.

Certutil -syncWithWU -f -f <folder> remove e substitui arquivos na pasta de destino.

Você pode encontrar os seguintes erros e avisos ao executar o comando Certutil -syncWithWU:

  • Se você usar um caminho ou pasta local não existente como a pasta de destino, verá o erro:

    O sistema não pode localizar o arquivo especificado. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Se você usar um local de rede não existente ou não disponível como a pasta de destino, verá o erro:

    Não é possível encontrar o nome da rede. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Se o servidor não conseguir conectar pela porta TCP 80 a servidores de Atualização Automática da Microsoft, você receberá o seguinte erro:

    Não foi possível estabelecer uma conexão com o servidor 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Se o seu servidor não conseguir alcançar os servidores de Atualização Automática da Microsoft com o nome de DNS ctldl.windowsupdate.com, receberá a seguinte mensagem de erro:

    Não foi possível resolver o nome do servidor ou endereço 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Se você não usar o comutador -f e os arquivos CTL já existirem no diretório, você receberá um erro de arquivo existente:

    CertUtil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Não é possível criar um arquivo quando ele já existe.

  • Se houver uma alteração nos certificados raiz confiáveis, você verá: "Aviso! Encontradas as seguintes raízes que já não são confiáveis: <caminho da pasta>\<thumbprint>.crt. Use as opções "-f -f" para forçar a exclusão dos arquivos ".crt" anteriores. O "authrootstl.cab" foi atualizado? Se sim, considere a possibilidade de adiar a exclusão até que todos os clientes tenham sido atualizados."

Mostrar: