TechNet
Exportar (0) Imprimir
Expandir Todos

Configurar Raízes Confiáveis e Certificados Não Permitidos

 

Aplica-se a: Windows 8.1, Windows Server 2012 R2

Os sistemas operativos Windows Server 2012 R2, Windows Server 2012, Windows 8.1 e Windows 8 incluem um mecanismo de atualização automática que transfere listas de confiança de certificados (CTL) diariamente. No Windows Server 2012 R2 e Windows 8.1, estão disponíveis capacidades adicionais para controlar a forma como as CTL são atualizadas.

System_CAPS_ICON_important.jpg Importante


Estão disponíveis atualizações de software para Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 e Windows Vista. Para proporcionar as melhorias do mecanismo de atualização automática discutidas neste documento, aplique as seguintes atualizações:

  • Para Windows Server 2008 R2, Windows Server 2008, Windows 7, ou Windows Vista, aplicar a atualização adequada listada no documento 2677070 na Base de dados de Conhecimento Microsoft.
  • Para Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 ou Windows Vista, aplique a atualização adequada listada no documento 2813430 na Base de Dados de Conhecimento Microsoft.

O Microsoft Root Certificate Program permite a distribuição de certificados de raiz fidedignos em sistemas operativos Windows. Para obter mais informações sobre a lista de membros do Microsoft Root Certificate Program, consulte o Microsoft Root Certificate Program – Lista de Membros (todas as AC).

Os certificados de raiz fidedignos devem ser colocados no arquivo de certificados de Autoridades de Certificação de Raiz Fidedigna dos sistemas operativos Windows. Estes certificados têm a confiança do sistema operativo e podem ser utilizados por aplicações como uma referência para as hierarquias da infraestrutura de chaves públicas (PKI) e certificados digitais fidedignos. Há dois métodos para distribuir certificados de raiz fidedignos:

  1. Automático: A lista de certificados de raiz fidedignos é armazenada numa CTL. Os computadores cliente acedem ao site do Windows Update utilizando o mecanismo de atualização automática para atualizar esta CTL.

    System_CAPS_ICON_note.jpg Nota


    A lista de certificados de raiz fidedignos chama-se a CTL fidedigna.

  2. Manual: A lista de certificados de raiz fidedignos está disponível como um pacote IEXPRESS de extração automática no Centro de Transferências da Microsoft, no catálogo do Windows ou utilizando os Windows Server Update Services (WSUS). Os pacotes IEXPRESS são libertados ao mesmo tempo que a CTL fidedigna.

System_CAPS_ICON_note.jpg Nota


Para mais informações sobre estes métodos de atualização, consulte o documento 931125 na Base de Dados de Conhecimento Microsoft.

Os certificados não fidedignos são certificados publicamente conhecidos como sendo fraudulentos. Semelhante à CTL fidedigna, há dois mecanismos utilizados para distribuir uma lista de certificados não fidedignos:

  1. Automático: A lista de certificados não fidedignos é armazenada numa CTL. Os computadores cliente acedem ao site do Windows Update utilizando o mecanismo de atualização automática para atualizar esta CTL.

    System_CAPS_ICON_note.jpg Nota


    Uma lista de certificados não fidedignos chama-se uma CTL não fidedigna. Para obter mais informações, consulte Anunciar o atualizador automático de chaves e certificados não fidedignos.

  2. Manual: A lista de certificados não fidedignos é disponibilizada como um pacote IEXPRESS de extração automática numa atualização de segurança obrigatória do Windows Update.

Antes do Windows Server 2012 R2 e Windows 8.1 (ou da instalação da atualização de software, conforme discutido anteriormente), a mesma definição do registo controlava atualizações para certificados de raiz fidedignos e certificados não fidedignos. Um administrador não podia ativar ou desativar seletivamente um ou o outro. Daí resultavam os seguintes desafios:

  • Se a organização residia num ambiente desligado, o único método para atualizar CTLs era utilizando os pacotes IEXPRESS.

    System_CAPS_ICON_note.jpg Nota


    Neste documento, uma rede de computadores em que os computadores não têm capacidade para aceder ao site do Windows Update é considerada um ambiente desligado.

    O método de atualização do IEXPRESS é basicamente um processo manual. Além disso, o pacote IEXPRESS pode não estar imediatamente disponível quando a CTL for libertada, pelo que pode haver um atraso adicional para instalar estas atualizações quando se utiliza este método.

  • Embora a desativação das atualizações automáticas de CTL fidedignas seja recomendado para administradores que gerem as suas listas de certificados de raiz fidedignos (em ambientes ligados ou desligados), desativar atualizações automáticas de CTL não fidedignas não é recomendado.

    Para mais informações, consulte Controlar a Funcionalidade Atualizar Certificados de Raiz para Impedir o Fluxo de Informações para e da Internet.

  • Dado que não havia um método para os administradores de rede visualizarem e extraírem apenas os certificados de raiz fidedignos numa CTL fidedigna, gerir uma lista personalizada de certificados fidedignos era tarefa difícil.

Os seguintes mecanismos de atualização automática melhorada para um ambiente desligado estão disponíveis no Windows Server 2012 R2 e no Windows 8.1 ou quando a atualização de software apropriada estiver instalada:

  • Definições do Registo para armazenar CTLs Novas definições permitem alterar a localização para carregar CTL fidedignas ou não fidedignas a partir do site do Windows Update para uma localização partilhada numa organização. Para mais informações, consulte a secção Definições do Registo modificadas.

  • Opções de sincronização Se o URL do site do Windows Update for movido para uma pasta partilhada local, a pasta partilhada local tem de ser sincronizada com a pasta do Windows Update. Essa atualização de software adiciona um conjunto de opções na ferramenta Certutil que os administradores podem utilizar para permitir a sincronização. Para mais informações, consulte a secção Novas Opções do Certutil.

  • Ferramenta para selecionar certificados de raiz fidedignos Esta atualização de software introduz uma ferramenta para administradores que gerem o conjunto de certificados de raiz fidedignos no seu ambiente empresarial. Os administradores podem ver e selecionar o conjunto de certificados de raiz fidedignos, exportá-los para um arquivo de certificados serializados e distribuí-los através da Política de Grupo. Para mais informações, consulte a secção Novas Opções do Certutil neste documento.

  • Capacidade de configuração independente O mecanismo de atualização automática de certificados fidedignos e não fidedignas pode ser configurado de forma independente. Isto permite que os administradores utilizem o mecanismo de atualização automática para transferir apenas as CTL não fidedignas e gerir a sua própria lista de CTL fidedignas. Para mais informações, consulte a secção Definições do Registo modificadas neste documento.

No Windows Server 2012 R2 e no Windows 8.1 (ou instalando as atualizações de software anteriormente mencionadas em sistemas operativos suportados), um administrador pode configurar um servidor de ficheiros ou Web para transferir os seguintes ficheiros através do mecanismo de atualização automática:

  • authrootstl.cab, que contém uma CTL não Microsoft

  • disallowedcertstl.cab, que contém uma CTL com certificados não fidedignos

  • disallowedcert.sst, que contém um arquivo de certificados serializados, incluindo certificados não fidedignos

  • thumbprint.crt, que contém certificados de raiz não Microsoft

Os passos para efetuar esta configuração estão descritos na secção Configurar um servidor de ficheiros ou da Web para transferir os ficheiros de CTLs deste documento.

Ao utilizar Windows Server 2012 R2 e Windows 8.1 (ou ao instalar as atualizações de software anteriormente mencionadas em sistemas operativos suportados), um administrador pode:

System_CAPS_ICON_important.jpg Importante

  • Todos os passos apresentados neste documento exigem que o utilizador utilize uma conta que seja membro do grupo local Administrators. Para todos os passos de configuração dos Serviços de Domínio do Active Directory (AD DS), tem de utilizar uma conta que seja membro do grupo Domain Admins ou que tenha recebido as permissões necessárias.

  • Os procedimentos neste documento dependem de o utilizador ter pelo menos um computador que seja capaz de se ligar à Internet para transferir CTLs da Microsoft. O computador exige acesso HTTP (porta TCP 80) e resolução de nomes (porta TCP e UDP 53) para entrar em contacto com ctldl.windowsupdate.com. Este computador pode ser um membro de domínio ou membro de um grupo de trabalho. Atualmente, todos os ficheiros transferidos exigem aproximadamente 1,5 MB de espaço.

  • As definições descritas neste documento são implementadas utilizando GPOs. Estas definições não são removidas automaticamente se o GPO for desassociado ou removido do domínio do AD DS. Uma vez implementadas, estas definições podem ser alteradas apenas através de um GPO ou modificando o Registo dos computadores afetados.

  • Os conceitos discutidos neste documento são independentes dos Windows Server Update Services (WSUS).

    • Não tem de utilizar os WSUS para implementar a configuração discutida neste documento.
    • Se utilizar os WSUS, estas instruções não afetarão a sua funcionalidade.
    • A implementação dos WSUS não substitui a implementação das configurações discutidas neste documento.

Para facilitar a distribuição de certificados fidedignos ou não fidedignos para um ambiente desligado, primeiro tem de configurar um servidor de ficheiros ou da Web para transferir os ficheiros de CTLs a partir do mecanismo de atualização automática.

System_CAPS_ICON_tip.jpg Sugestão


A configuração descrita nesta secção não é necessária para ambientes onde os computadores são capazes de se ligar diretamente ao site do Windows Update. Os computadores capazes de se ligar ao site do Windows Update podem receber CTL atualizadas diariamente (se estiverem a executar o Windows Server 2012, Windows 8, ou se as atualizações de software anteriormente mencionadas estiverem instaladas em sistemas operativos suportados). Para mais informações, consulte o documento 2677070 na Base de Dados de Conhecimento Microsoft.

Para configurar um servidor que tenha acesso à Internet para obter os ficheiros de CTLs

  1. Crie uma pasta partilhada num servidor de ficheiros ou da Web capaz de sincronizar utilizando o mecanismo de atualização automática e que o utilizador queira utilizar para armazenar os ficheiros de CTLs.

    System_CAPS_ICON_tip.jpg Sugestão


    Antes de começar, poderá ser necessário ajustar as permissões da pasta partilhada e as permissões da pasta NTFS para permitir o acesso à conta apropriada, sobretudo se estiver a utilizar uma tarefa agendada com uma conta de serviço. Para mais informações sobre o ajuste de permissões, consulte Gerir Permissões para Pastas Partilhadas.

  2. Numa linha de comandos elevada, execute o seguinte comando:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    Substitua o nome do servidor real por <server> e o nome da pasta partilhada por <share>. Por exemplo, se o utilizador executar este comando num servidor chamado Servidor1 com uma pasta partilhada chamada CTL, executaria o comando:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. Transfira os ficheiros de CTLs para um servidor que os computadores de um ambiente desligado possam aceder através da rede utilizando um caminho de ficheiro (por exemplo, FILE://\\Servidor1\CTL) ou um caminho HTTP (por exemplo, HTTP://Servidor1/CTL).

System_CAPS_ICON_note.jpg Nota

  • Se o servidor que sincroniza as CTL não estiver acessível a partir dos computadores de um ambiente desligado, o utilizador tem de disponibilizar outro método para transferir as informações. Por exemplo, pode permitir que um dos computadores membros de domínio se ligue ao servidor e depois agendar outra tarefa no computador membro de domínio para puxar as informações para uma pasta partilhada num servidor Web interno. Se não houver qualquer ligação de rede, poderá ter de utilizar um processo manual para transferir os ficheiros, por exemplo, um dispositivo de armazenamento amovível.
  • Se pensa utilizar um servidor Web, deve criar um novo diretório virtual para os ficheiros de CTLs. Os passos para criar um diretório virtual utilizando os Serviços de Informação Internet (IIS) são praticamente os mesmos para todos os sistemas operativos suportados discutidos neste documento. Para mais informações, consulte Criar um Diretório Virtual (IIS7).
  • Tenha em atenção que determinadas pastas de sistema e de aplicações no Windows têm proteção especial aplicada. Por exemplo, a pasta inetpub exige permissões de acesso especiais, o que torna difícil criar uma pasta partilhada para utilizar com uma tarefa agendada para transferir ficheiros. Enquanto administrador, o utilizador é normalmente capaz de criar uma localização de pasta na raiz de um sistema de unidade lógica para ser utilizada para transferências de ficheiros.

Se os computadores da sua rede estiverem configurados num ambiente de domínio e não puderem utilizar o mecanismo de atualização automática nem transferir CTLs, o utilizador pode implementar um GPO no AD DS para configurar esses computadores para obterem as atualizações de CTLs a partir de uma localização alternativa.

System_CAPS_ICON_note.jpg Nota


A configuração nesta secção exige que o utilizador já tenha concluído os passos em Configurar um servidor de ficheiros ou da Web para transferir os ficheiros de CTLs.

Para configurar um modelo administrativo personalizado para um GPO

  1. Num controlador de domínio, crie um novo modelo administrativo. Pode começar com um ficheiro de texto e depois alterar a extensão do nome de ficheiro para .adm. O conteúdo do ficheiro deve ser o seguinte:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilize um nome descritivo para guardar o ficheiro, como, por exemplo, URLDirRaiz.adm.

    System_CAPS_ICON_tip.jpg Sugestão

    • Certifique-se de que a extensão do nome de ficheiro é .adm e não .txt.
    • Se ainda não ativou a apresentação da extensão dos nomes de ficheiro, consulte Como: Ver Extensões de Nome de Ficheiro.
    • Se guardar o ficheiro na pasta %windir%\inf, será mais fácil de o localizar nos passos que se seguem.
  3. Abra o Editor de Gestão de Políticas de Grupo.

    • Se estiver a utilizar Windows Server 2008 R2 ou Windows Server 2008, clique em Iniciar, e depois em Executar.

    • Se estiver a utilizar Windows Server 2012 R2 ou Windows Server 2012, prima as teclas Windows e R em simultâneo.

    Escreva GPMC.msc e, em seguida, prima ENTER.

    System_CAPS_ICON_caution.jpg Cuidado


    Pode associar um novo GPO ao domínio ou a qualquer unidade organizacional (UO). As modificações no GPO implementadas neste documento alteram as definições do Registo dos computadores afetados. Não pode anular essas definições eliminando ou desassociando o GPO. As definições só podem ser anuladas invertendo-as nas definições do GPO ou modificando o Registo utilizando outra técnica.

  4. Na consola Gestão de Políticas de Grupo, expanda o objeto Floresta, expanda o objeto Domínios e, em seguida, expanda o domínio específico que contém as contas de computador que pretende alterar. Se tiver uma UO específica que pretenda modificar, navegue para essa localização. Clique num GPO existente ou clique com o botão direito e depois clique em Criar um GPO neste domínio e ligá-lo aqui para criar um novo GPO. Clique com o botão direito no GPO que pretende modificar e, em seguida, clique em Editar.

  5. No painel de navegação, em Configuração do computador, expanda Políticas.

  6. Clique com o botão direito em Modelos administrativos e, em seguida, em Adicionar/remover modelos.

  7. Em Adicionar/remover modelos, clique em Adicionar. Na caixa de diálogo Modelos de políticas, selecione o modelo .adm que já tinha guardado. Clique em Abrir e depois em Fechar.

  8. No painel de navegação, expanda Modelos administrativos e, em seguida, expanda Modelos Administrativos Clássicos (ADM).

  9. Clique em Definições do Windows AutoUpdate e, no painel de detalhes, faça duplo clique em Endereço URL a utilizar em vez da predefinição ctldl.windowsupdate.com.

  10. Selecione Ativado. Na secção Opções, introduza o URL para o servidor de ficheiros ou da Web que contém os ficheiros de CTLs. Por exemplo, http://servidor1/CTL ou file://\\servidor1\CTL. Clique em OK. Feche o Editor de Gestão de Políticas de Grupo.

A política entra de imediato em vigor, mas os computadores cliente têm de ser reiniciados para receber as novas definições, ou pode introduzir gpupdate /force numa linha de comandos elevada ou a partir do Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


As CTL fidedignas e não fidedignas podem ser atualizadas diariamente, portanto, certifique-se de que mantém os ficheiros sincronizados através de uma tarefa agendada ou outro método (por exemplo, um script que gere condições de erro) para atualizar a pasta partilhada ou o diretório virtual da Web. Para mais detalhes sobre como criar uma tarefa agendada, consulte Agendar uma Tarefa. Se pretender escrever um script para efetuar atualizações diárias, consulte as secções Novas Opções do Certutil e Potenciais erros com o Certutil -SyncWithWU deste documento. Estas secções fornecem mais informações sobre as opções de comandos e as condições de erro.

Algumas organizações poderão querer que apenas as CTL não fidedignas (e não as CTL fidedignas) sejam automaticamente atualizadas. Para tal, pode criar dois modelos .adm para adicionar à Política de Grupo.

System_CAPS_ICON_important.jpg Importante

  1. Num ambiente desligado, pode utilizar o procedimento a seguir com o procedimento anterior (redirecionar o URL da Atualização Automática da Microsoft para CTL fidedignas e não fidedignas). Este procedimento explica como desativar seletivamente a atualização automática de CTL fidedignas.
  2. Também pode utilizar este procedimento num ambiente ligado isolado para desativar seletivamente a atualização automática de CTL fidedignas.

Para redirecionar seletivamente apenas CTL não fidedignas

  1. Num controlador de domínio, crie o primeiro novo modelo administrativo, começando com um ficheiro de texto e depois alterando a extensão do nome de ficheiro para .adm. O conteúdo do ficheiro deve ser o seguinte:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Utilize um nome descritivo para guardar o ficheiro, como, por exemplo, DesativarAtualizacaoCTLPermitida.adm.

  3. Crie um segundo novo modelo administrativo. O conteúdo do ficheiro deve ser o seguinte:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Utilize um nome descritivo para guardar o ficheiro, como, por exemplo, AtivarAtualizacaoCTLNaoFidedignas.adm.

    System_CAPS_ICON_tip.jpg Sugestão

    • Certifique-se de que a extensão do nome de ficheiro destes ficheiros é .adm e não .txt.
    • Se ainda não ativou a apresentação da extensão dos nomes de ficheiro, consulte Como: Ver Extensões de Nome de Ficheiro.
    • Se guardar o ficheiro na pasta %windir%\inf, será mais fácil de o localizar nos passos que se seguem.
  5. Abra o Editor de Gestão de Políticas de Grupo.

  6. Na consola Gestão de Políticas de Grupo, expanda os objetos Floresta, Domínios e o objeto de domínio específico que pretende modificar. Clique com o botão direito em GPO política predefinida de domínio e depois em Editar.

  7. No painel de navegação, em Configuração do computador, expanda Políticas.

  8. Clique com o botão direito em Modelos administrativos e, em seguida, em Adicionar/remover modelos.

  9. Em Adicionar/remover modelos, clique em Adicionar. Utilize a caixa de diálogo Modelos de políticas para selecionar os modelos .adm que já tinha guardado. (Pode manter premida a tecla CTRL e clicar em cada ficheiro para selecionar ambos.) Clique em Abrir e depois em Fechar.

  10. No painel de navegação, expanda Modelos administrativos e, em seguida, expanda Modelos Administrativos Clássicos (ADM).

  11. Clique em Definições do Windows AutoUpdate e, em seguida, no painel de detalhes, faça duplo clique em Atualização Automática de Certificados de Raiz.

  12. Selecione Desativado. Esta definição impede a atualização automática das CTL fidedignas. Clique em OK.

  13. No painel de detalhes, faça duplo clique em Atualização Automática de CTL Não Fidedignas. Selecione Ativado. Clique em OK.

A política entra de imediato em vigor, mas os computadores cliente têm de ser reiniciados para receber as novas definições, ou pode introduzir gpupdate /force numa linha de comandos elevada ou a partir do Windows PowerShell.

System_CAPS_ICON_important.jpg Importante


As CTL fidedignas e não fidedignas podem ser atualizadas diariamente, portanto, certifique-se de que mantém os ficheiros sincronizados através de uma tarefa agendada ou outro método para atualizar a pasta partilhada ou o diretório virtual.

Esta secção descreve como produzir, rever e filtrar as CTL fidedignas que pretende que os computadores da sua organização utilizem. Para tirar partido desta resolução, tem de implementar os GPO descritos nos procedimentos anteriores. Esta resolução está disponível para ambientes desligados e ligados.

Há dois procedimentos a executar para personalizar a lista de CTL fidedignas.

  1. Criar um subconjunto de certificados fidedignos

  2. Distribuir os certificados fidedignos utilizando a Política de Grupo

Para criar um subconjunto de certificados fidedignos

  1. Num computador que esteja ligado à Internet, abra o Windows PowerShell como Administrador ou abra uma linha de comandos elevada e introduza o seguinte comando:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. Pode executar o seguinte comando no Explorador do Windows para abrir o WURoots.sst:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg Sugestão


    Também pode utilizar o Internet Explorer para navegar até ao ficheiro e abri-lo fazendo duplo clique no mesmo. Dependendo da localização onde armazenou o ficheiro, também poderá abri-lo escrevendo wuroots.sst.

  3. No painel de navegação do Gestor de Certificados, expanda o caminho de ficheiro em Certificados - Utilizador atual até ver Certificados e, em seguida, clique em Certificados.

  4. No painel de detalhes, pode ver os certificados fidedignos. Mantenha premida a tecla CTRL e clique em cada um dos certificados que pretende permitir. Quando tiver selecionado os certificados que pretende permitir, clique com o botão direito num dos certificados selecionados, clique em Todas as Tarefas e, em seguida, clique em Exportar.

    System_CAPS_ICON_important.jpg Importante


    Tem de selecionar pelo menos dois certificados para poder exportar o tipo de ficheiro .sst. Se selecionar apenas um certificado, o tipo de ficheiro .sst não está disponível e, em vez disso, fica selecionado o tipo de ficheiro .cer.

  5. No Assistente Para Exportar Certificados, clique em Seguinte.

  6. Na página Formato de Ficheiro de Exportação, selecione Arquivo de Certificados Serializados (.SST) da Microsofte, em seguida, clique em Seguinte.

  7. Na página Ficheiro a Exportar, introduza um caminho e um nome apropriado para o ficheiro, como C:\CertsPermitidos.sst e, em seguida, clique em Seguinte. Clique em Concluir. Quando for notificado de que a exportação foi bem-sucedida, clique em OK.

  8. Copie o ficheiro .sst que criou para um controlador de domínio.

Para distribuir a lista de certificados fidedignos utilizando a Política de Grupo

  1. No controlador de domínio que contém o ficheiro .sst personalizado, abra o Editor de Gestão de Políticas de Grupo.

  2. Na consola Gestão de Políticas de Grupo, expanda os objetos Floresta, Domínios e o objeto de domínio específico que pretende modificar. Clique com o botão direito em GPO política predefinida de domínio e depois em Editar.

  3. No painel de navegação, em Configuração do computador, expanda Políticas, expanda Definições do Windows, expanda Definições de segurança e, em seguida, expanda Políticas de chaves públicas.

  4. Clique com o botão direito em Autoridades de Certificação de Raiz Fidedigna e depois em Importar.

  5. No Assistente Para Importar Certificados, clique em Seguinte.

  6. Introduza o caminho e o nome do ficheiro que copiou para o controlador de domínio ou utilize o botão Procurar para localizar o ficheiro. Clique em Seguinte.

  7. Confirme que pretende colocar estes certificados no arquivo de certificados de Autoridades de Certificação de Raiz Fidedigna clicando em Seguinte. Clique em Concluir. Quando for notificado de que a importação dos certificados foi bem-sucedida, clique em OK.

  8. Feche o Editor de Gestão de Políticas de Grupo.

A política entra de imediato em vigor, mas os computadores cliente têm de ser reiniciados para receber as novas definições, ou pode introduzir gpupdate /force numa linha de comandos elevada ou a partir do Windows PowerShell.

As definições descritas neste documento configuram as seguintes chaves do Registo nos computadores cliente. Estas definições não são removidas automaticamente se o GPO for desassociado ou removido do domínio. Estas definições têm de ser especificamente reconfiguradas, se quiser alterá-las.

Chaves do RegistoValor e descrição
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdateUm valor de 1 desativa o Windows AutoUpdate da CTL fidedigna.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateUm valor de 1 ativa o Windows AutoUpdate da CTL não fidedigna.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlConfigura a localização partilhada (o caminho HTTP ou FILE).

As seguintes opções foram adicionadas ao Certutil:

SintaxeDescriçãoExemplo
CertUtil [Opções] - syncWithWU DestinationDirSincronize com o Windows Update.

 
  • DestinationDir é a pasta que recebe os ficheiros utilizando o mecanismo de atualização automática.
  • Os seguintes ficheiros são transferidos através do mecanismo de atualização automática:

     
    • O ficheiro authrootstl.cab contém as CTL de certificados de raiz não Microsoft.
    • O ficheiro disallowedcertstl.cab contém as CTL de certificados não fidedignos.
    • O ficheiro disallowedcert.sst contém o arquivo de certificados serializados, incluindo os certificados não fidedignos.
    • <thumbprint>.crt contém os certificados de raiz não Microsoft.
CertUtil -syncWithWU \\servidor1\PKI\CTLs
CertUtil [Opções] -generateSSTFromWU SSTFileGere um SST utilizando o mecanismo de atualização automática.

SSTFile: ficheiro .sst a ser criado. O ficheiro .sst gerado contém os certificados de raiz não Microsoft que foram transferidos utilizando o mecanismo de atualização automática.
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg Sugestão


Certutil -SyncWithWU -f <folder> atualiza os ficheiros existentes na pasta de destino.

Certutil -syncWithWU -f -f <folder> remove e substitui os ficheiros na pasta de destino.

Pode encontrar os seguintes erros e avisos quando executar o comando Certutil -syncWithWU:

  • Se utilizar um caminho local não inexistente ou uma pasta como a pasta de destino, verá o erro:

    O sistema não consegue encontrar o ficheiro especificado. 0X80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Se utilizar uma localização de redelocal não inexistente ou indisponível como a pasta de destino, verá o erro:

    Impossível encontrar o nome de rede. 0X80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Se o servidor não conseguir ligar, através da porta TCP 80, aos servidores de atualização automática da Microsoft, receberá o seguinte erro:

    Não foi possível estabelecer uma ligação com o servidor 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Se o servidor conseguir alcançar os servidores de atualização automática da Microsoft com o nome DNS ctldl.windowsupdate.com, receberá o seguinte erro:

    Não foi possível resolver o nome ou endereço do servidor 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • Se não utilizar o parâmetro -f e se alguns dos ficheiros CTL já existirem no diretório, receberá o erro de ficheiro existente:

    CertUtil: -syncWithWU command FAILED: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: não é possível criar um ficheiro quando esse ficheiro já existe.

  • Se houver alteração nos certificados de raiz fidedignos, verá: "Aviso! Foram encontradas as seguintes raízes que já não são fidedignas : <folder path>\<thumbprint>.crt. Utilize as opções "-f -f" para forçar a eliminação dos ficheiros ".crt" acima indicados. "authrootstl.cab" foi atualizado? Se foi, considere adiar a eliminação até que todos os clientes tenham sido atualizados."

Mostrar:
© 2016 Microsoft