Güvenilen Kökleri ve İzin Verilmeyen Sertifikaları Yapılandırma

 

Uygulama Hedefi: Windows 8.1, Windows Server 2012 R2

Windows Server 2012 R2, Windows Server 2012, Windows 8.1 ve Windows 8 işletim sistemleri, sertifika güven listelerini (CTL’ler) günlük olarak indiren bir otomatik güncelleştirme mekanizması içerir.Windows Server 2012 R2 ve Windows 8.1 sistemlerinde, CTL'lerin nasıl güncelleştirileceğini denetlemek için kullanılabilecek ek özellikler mevcuttur.

System_CAPS_ICON_important.jpg Önemli


Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7, ve Windows Vista için yazılım güncelleştirmeleri vardır. Bu belgede açıklanan otomatik güncelleme mekanizması yeniliklerini sağlamak için aşağıdaki güncelleştirmeleri uygulayın:

  • Windows Server 2008 R2, Windows Server 2008, Windows 7 veya Windows Vista için, Microsoft Bilgi Bankası’nda yer alan Belge 2677070 içinde listelenen uygun güncelleştirmeyi uygulayın.
  • Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows 8, Windows 7 veya Windows Vista için, Microsoft Bilgi Bankası’nda yer alan Belge 2813430 içinde listelenen uygun güncelleştirmeyi uygulayın.

Microsoft Kök Sertifika Programı, güvenilen kök sertifikaların Windows işletim sistemleri içinde dağıtımını sağlar. Windows Kök Sertifikası Programı üyelerinin listesi hakkında daha fazla bilgi için, bkz. Windows Kök Sertifikası Programı - Üye Listesi (tüm CA’lar).

Güvenilen kök sertifikalar Windows işletim sistemlerinin Güvenilen Kök Sertifika Yetkilileri sertifikasına yerleştirilmek üzere tasarlanmışlardır. Bu sertifikalara işletim sistemi tarafından güvenilir ve uygulamalar tarafından ortak anahtar altyapısı (PKI) hiyerarşilerinin ve dijital sertifikaların güvenilir olduğu konusunda referans olarak kullanılabilir. Güvenilen kök sertifikalarını dağıtmak için iki yöntem vardır:

  1. Otomatik: Güvenilen kök sertifikaların listesi bir CTL’de depolanır. İstemci bilgisayarlar bu CTL'yi güncelleştirmek için otomatik güncelleştirme mekanizmasını kullanarak Windows Update sitesine erişir.

    System_CAPS_ICON_note.jpg Not


    Güvenilen kök sertifika listesine güvenilir CTL adı verilir.

  2. El ile: Güvenilen kök sertifikaların listesi kendiliğinden açılan bir IEXPRESS paketi olarak Microsoft İndirme Merkezi’nden, Windows Kataloğundan veya Windows Server Update Services (WSUS) kullanılarak edinilebilir. IEXPRESS paketleri, güvenilir CTL ile aynı anda yayımlanmaktadır.

System_CAPS_ICON_note.jpg Not


Bu güncelleştirme yöntemleri hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki 931125 numaralı belgeye bakın.

Güvenilmeyen sertifikalar, genel olarak sahte olduğu bilinen sertifikalardır. Güvenilen CTL'ye benzer biçimde, güvenilmeyen sertifikalar listesini dağıtmak için kullanılan iki mekanizma vardır:

  1. Otomatik: Güvenilmeyen sertifikaların listesi bir CTL'de depolanır. İstemci bilgisayarlar bu CTL'yi güncelleştirmek için otomatik güncelleştirme mekanizmasını kullanarak Windows Update sitesine erişir.

    System_CAPS_ICON_note.jpg Not


    Güvenilmeyen Sertifikalar listesine güvenilmeyen CTL adı verilir. Daha fazla bilgi için, bkz. Güvenilmeyen sertifikalara ve anahtarlara yönelik otomatik güncelleştiriciyle tanışın.

  2. El ile: Güvenilmeyen sertifikaların listesi, güvenliğe yönelik zorunlu bir Windows Update işleminde kendiliğinden açılan bir IEXPRESS paketi olarak gelir.

Windows Server 2012 R2 ve Windows 8.1 (ya da daha önce açıklandığı gibi yazılım güncelleştirme yüklemesi) öncesinde, güvenilen kök sertifikaları ve güvenilmeyen sertifikalar için güncelleştirmeleri aynı kayıt defteri ayarı denetliyordu. Yönetici seçerek ikisinden birini etkinleştiremiyor veya devre dışı bırakamıyordu. Bu aşağıdaki sorunları ortaya çıkarıyordu:

  • Organizasyon bağlantısı kesilmiş bir ortamdaysa, CTL güncelleştirmenin tek yöntemi IEXPRESS paketleri kullanmaktı.

    System_CAPS_ICON_note.jpg Not


    Windows Update sitesine erişim özelliği olmayan bilgisayarların olduğu bilgisayar ağı bu belgede bağlantısı kesilmiş ortam olarak kabul edilir.

    IEXPRESS güncelleştirme yöntemi çoğunlukla elle yapılan bir işlemdir. Ayrıca, CTL serbest bırakıldığında IEXPRESS paketi hemen kullanılamayabilir, bu yüzden bu yöntemi kullanırken, bu güncelleştirmeleri yüklemek için ek bir gecikme olabilir.

  • Güvenilir CTL'ler için otomatik güncelleştirmelerin devre dışı bırakılması kendi güvenilen kök sertifikalarının listesini (bağlantısı kesilmiş veya bağlı ortamlarda) yöneten yöneticiler için önerilse de, güvenilmeyen CTL'lerin otomatik güncelleştirmelerinin devre dışı bırakılması önerilmez.

    Daha fazla bilgi için, bkz. İnternet’ten ve İnternet’e Bilgi Akışını Önlemek için Kök Sertifikalarını Güncelleştirme Özelliğinin Kontrol Edilmesi.

  • Ağ yöneticileri için güvenilen bir CTL'de sadece güvenilir kök sertifikalarını görüntülemeye ve açmaya yönelik bir yöntem olmadığından, özelleştirilmiş bir güvenilen sertifika listesini yönetmek zor bir görev olmuştur.

Windows Server 2012 R2 ve Windows 8.1 sistemlerinde veya uygun bir yazılım güncelleştirmesi yüklü olduğunda, bağlantısı kesik bir ortam için aşağıdaki geliştirilmiş otomatik güncelleştirme mekanizmaları kullanılabilir:

  • CTL'leri depolamak için kayıt defteri ayarları Yeni ayarlar güvenilen veya güvenilmeyen CTL'lerin Windows Update sitesinden bir kuruluştaki paylaşılan konuma yüklenmesi için konumun değiştirilmesini etkinleştirir. Daha fazla bilgi için, Değiştirilen kayıt defteri ayarları bölümüne bakın.

  • Eşitleme seçenekleri Windows Update sitesinin URL'si yerel bir paylaşılan klasöre taşınırsa, yerel paylaşılan klasör Windows Update klasörüyle eşitlenmelidir. Bu yazılım güncelleştirmesi, eşitlemeyi etkinleştirmek için yöneticilerin kullanabileceği Certutil aracına bir seçenek kümesi ekler. Daha fazla bilgi için, Yeni Certutil Seçenekleri bölümüne bakın.

  • Güvenilen kök sertifikalarını seçme aracı Bu yazılım güncelleştirmesi, kendi kuruluş ortamında güvenilen kök sertifikalar kümesini yöneten yöneticiler için bir araç sunar. Yöneticiler güvenilen kök sertifikalar kümesini görüntüleyebilir ve seçebilir, onları sıralanmış sertifika deposuna dışa aktarabilir ve Grup İlkesi kullanarak dağıtabilir. Daha fazla bilgi için, bu belgedeki Yeni Certutil Seçenekleri bölümüne bakın.

  • Bağımsız yapılandırılabilirlik Güvenilir ve güvenilmeyen sertifikalar için otomatik güncelleştirme mekanizması bağımsız olarak yapılandırılabilir. Bu yöneticilerin, otomatik güncelleştirme mekanizmasını sadece güvenilir CTL'leri indirmek üzere kullanmalarını ve kendi güvenilen CTL'ler listelerini yönetmelerini sağlar. Daha fazla bilgi için, bu belgedeki Değiştirilen kayıt defteri ayarları bölümüne bakın.

Windows Server 2012 R2 ve Windows 8.1 sistemlerinde (veya yukarıda açıklanan yazılım güncelleştirmelerini desteklenen işletim sistemlerine yükleyerek) yönetici, otomatik güncelleştirme mekanizmasını kullanarak aşağıdaki dosyaları indirmek için bir dosya veya web sunucusu yapılandırabilir:

  • Microsoft olmayan CTL içeren authrootstl.cab

  • Güvenilmeyen sertifikaları olan bir CTL içeren disallowedcertstl.cab

  • güvenilmeyen sertifikalar dahil olmak üzere bir sıralanmış sertifika deposu içeren disallowedcert.sst

  • Microsoft dışı kök sertifikalarını içeren thumbprint.crt

Bu yapılandırmayı gerçekleştirme adımları bu belgenin CTL dosyalarını indirmek için bir dosya veya web sunucusu yapılandırma bölümünde açıklanmaktadır.

Windows Server 2012 R2 ve Windows 8.1 kullanarak (veya yukarıda açıklanan yazılım güncelleştirmelerini desteklenen işletim sistemlerine yükleyerek) yönetici aşağıdakileri yapabilir:

System_CAPS_ICON_important.jpg Önemli

  • Bu belgede gösterilen tüm adımlar, yerel bir Administrators grubu üyesi olan bir hesabı kullanmanızı gerektirir. Tüm Active Directory Etki Alanı Hizmetleri (AD DS) yapılandırma adımları için Domain Admins grubu üyesi olan veya gerekli izinleri atanmış bir hesabı kullanmanız gerekir.

  • Bu belgedeki yordamlar, Microsoft'tan CTL'leri indirmek üzere internete bağlanabilecek en az bir bilgisayar olmasına bağlıdır. Bilgisayar, ctldl.windowsupdate.com'a bağlanmak için HTTP (TCP bağlantı noktası 80) erişimi ve ad çözümlemesi (TCP ve UDP bağlantı noktası 53) becerisi gerektirir. Bu bilgisayar bir etki alanının üyesi veya bir çalışma grubunun üyesi olabilir. Şu anda indirilen tüm dosyalar yaklaşık 1,5 MB disk alanı gerektirir.

  • Bu belgede açıklanan ayarlar, GPO'lar kullanılarak uygulanır. GPO bağlantısı kesilirse ya da AD DS etki alanından kaldırılırsa, bu ayarlar otomatik olarak kaldırılmaz. Uygulandığında, bu ayarlar yalnızca GPO kullanarak veya etkilenen bilgisayarların kayıt defterini değiştirerek değiştirilebilir.

  • Bu belgede açıklanan kavramlar, Windows Server Update Services'ten (WSUS) bağımsızdır.

    • Bu belgede ele alınan yapılandırmayı uygulamak için WSUS'yu kullanmanız gerekmez.
    • WSUS kullanıyorsanız, bu yönergeler işlevselliğini etkilemez.
    • WSUS uygulamak, bu belgede ele alınan yapılandırmaları uygulamak için bir alternatif değildir.

Bağlantısı kesilmiş bir ortam için güvenilen veya güvenilmeyen sertifikaların dağıtımını kolaylaştırmak üzere otomatik güncelleştirme düzeneğinden CTL dosyalarını indirmek için önce bir dosya veya web sunucusu yapılandırmanız gerekir.

System_CAPS_ICON_tip.jpg İpucu


Bu bölümde açıklanan yapılandırma, bilgisayarların Windows Update sitesine doğrudan bağlanabildiği ortamlar için gerekli değildir. Windows Update sitesine bağlanabilen bilgisayarlar, güncelleştirilmiş CTL'leri günlük olarak alabilir (Windows Server 2012 veya Windows 8 çalıştırıyorsa ya da desteklenen işletim sistemlerinde yukarıda açıklanan yazılım güncelleştirmeleri yüklenmişse). Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki 2677070 numaralı belgeye bakın.

CTL dosyalarını almak üzere İnternet erişimi olan bir sunucu yapılandırmak için

  1. Otomatik güncelleştirme mekanizmasını kullanarak eşitleme yapabilen ve CTL dosyalarını depolamak için kullanmak istediğiniz dosyada veya web sunucusunda paylaşılan bir klasör oluşturun.

    System_CAPS_ICON_tip.jpg İpucu


    Başlamadan önce, özellikle bir zamanlanmış görev ile bir hizmet hesabı kullanıyorsanız, paylaştırılmış klasör izinleri ve NTFS klasör izinlerini uygun hesap erişimine izin verecek şekilde ayarlamanız gerekebilir. İzinleri ayarlama hakkında daha fazla bilgi için, bkz. Paylaşılan Klasörler için İzinleri Yönetme.

  2. Yükseltilmiş bir komut isteminden aşağıdaki komutu çalıştırın:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    <sunucu> için gerçek sunucu adını ve <paylaşım> için paylaşılan klasörün adını yerleştirin. Örneğin, CTL adlı bir paylaşılan klasör ile Sunucu1 adlı bir sunucu için bu komutu çalıştırmanız gerekiyorsa komutu çalıştırın:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. CTL dosyalarını, bağlı olmayan bir ortamdaki bilgisayarların dosya yolu (örneğin, FILE://\\Server1\CTL) veya HTTP yolu (örneğin, HTTP://Server1/CTL) kullanarak ağ üzerinden erişebildiği bir sunucuya indirin.

System_CAPS_ICON_note.jpg Not

  • CTL'leri eşitleyen sunucu bağlantısı kesilmiş ortamda bilgisayarlardan erişilebilir durumda değilse, bilgileri aktarmak için başka bir yöntem sağlamanız gerekir. Örneğin, etki alanı üyesi bilgisayarlardan birini sunucuya bağlanmasına izin verebilir, ardından dahili bir web sunucusunda paylaşılan bir klasöre bilgileri çıkarmak için etki alanı üye bilgisayarda başka bir görev zamanlayabilirsiniz. Kesinlikle hiçbir ağ bağlantısı yoksa, dosyaları aktarmak için çıkarılabilir bir depolama cihazı gibi manuel bir işlem kullanmanız gerekebilir.
  • Bir web sunucusu kullanmayı planlıyorsanız, CTL dosyaları için yeni bir sanal dizin oluşturmanız gerekir. Internet Information Services (IIS) kullanarak bir sanal dizin oluşturmak adımları bu belgede ele alınan hemen hemen tüm desteklenen işletim sistemleri için aynıdır. Daha fazla bilgi için, bkz. Sanal Dizin Oluşturma (IIS7).
  • Windows'taki belirli sistem ve uygulama klasörlerinde özel koruma uygulanmış olduğunu unutmayın. Örneğin, inetpub klasörü, dosya aktarmak için zamanlanmış bir görev ile kullanmak üzere paylaşılan klasör oluşturmayı zorlaştıran özel erişim izinleri gerektirir. Yönetici olarak, dosya aktarımları için kullanmak üzere mantıksal sürücü sistem kökünde genellikle bir klasör konumu oluşturabilirsiniz.

Ağınızdaki bilgisayarlar bir etki alanı ortamında yapılandırılmışsa ve bunlar otomatik güncelleştirme mekanizmasını kullanamıyor veya CTL yükleyemiyorsa, farklı bir konumdan CTL güncelleştirmeleri edinmek üzere, bu bilgisayarları yapılandırmak için AD DS'de bir GPO uygulayabilirsiniz.

System_CAPS_ICON_note.jpg Not


Bu bölümdeki yapılandırma, CTL dosyalarını indirmek için bir dosya veya web sunucusu yapılandırma bölümündeki adımları önceden tamamlamış olmanızı gerektirir.

GPO için özel yönetim şablonu yapılandırmak için

  1. Bir etki alanı denetleyicisi üzerinde yeni bir yönetim şablonu oluşturun. Bunu metin dosyası olarak başlatabilir ve ardından dosya adı uzantısını .adm olarak değiştirebilirsiniz. Dosyanın içeriği aşağıdaki gibi olmalıdır:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Dosya olarak kaydetmek için RootDirURL.adm gibi açıklayıcı bir ad kullanın.

    System_CAPS_ICON_tip.jpg İpucu

    • Dosya adı uzantısının .adm değil .txt olduğundan emin olun.
    • Dosya adı uzantısını görüntülemeyi önceden etkinleştirmediyseniz, bkz. Nasıl Yapılır: Dosya Adı Uzantılarını Görüntüleme.
    • Dosyayı %windir%\inf klasörüne kaydederseniz, aşağıdaki adımlarda bulmak daha kolay olacaktır.
  3. Grup İlkesi Yönetimi Düzenleyicisi'ni açın.

    • Windows Server 2008 R2 veya Windows Server 2008 kullanıyorsanız, Başlat'a ve ardından Çalıştır'a tıklayın.

    • Windows Server 2012 R2 veya Windows Server 2012 kullanıyorsanız, Windows tuşuna ve R tuşuna aynı anda basın.

    GPMC.msc yazın, ardından ENTER tuşuna basın.

    System_CAPS_ICON_caution.jpg Uyarı notu


    Yeni bir GPO'yu, etki alanı ya da herhangi bir kuruluş birimi (OU) bağlayabilirsiniz. Bu belgede uygulanan GPO değişiklikleri, etkilenen bilgisayarların kayıt defteri ayarlarını değiştirir. Bu ayarları, silerek veya GPO bağlantısını keserek geri alamazsınız. Ayarlar yalnızca GPO ayarları içinde tersine çevrilerek veya başka bir yöntemle kayıt defteri değiştirerek geri alınabilir.

  4. Grup İlkesi Yönetim Konsolu'nda Orman nesnesini genişletin, Etki Alanları nesnesini genişletin ve sonra değiştirmek istediğiniz bilgisayar hesaplarını içeren belirli etki alanını genişletin. Değiştirmek istediğiniz belirli bir kuruluş birimi varsa, bu konuma gidin. Yeni bir GPO oluşturmak için var olan bir GPO'ya tıklayın veya sağ tıklayıp ardından Bu etki alanında bir GPO oluştur ve buraya bağla seçeneğine tıklayın. Değiştirmek istediğiniz GPO'ya sağ tıklayın ve ardından Düzenle'ye tıklayın.

  5. Gezinti bölmesinde, Bilgisayar Yapılandırması altında İlkeler'i genişletin.

  6. Yönetim Şablonları'na sağ tıklayın ve ardından Şablon Ekle/Kaldır'a tıklayın.

  7. Şablon Ekle/Kaldır'da Ekle'ye tıklayın.İlke şablonları iletişim kutusunda, önceden kaydettiğiniz .adm şablonunu seçin.'a tıklayın ve ardından Kapat'a tıklayın.

  8. Gezinti bölmesinde, Yönetim Şablonları'nı genişletin ve sonra Klasik Yönetimsel Şablonlar (ADM) seçeneğini genişletin.

  9. Windows Otomatik Güncelleştirme Ayarları'na tıklayın ve ayrıntılar bölmesinde varsayılan ctldl.windowsupdate.com yerine kullanılacak URL adresi'ne çift tıklayın.

  10. Etkin'i seçin.Seçenekler bölümünde, CTL dosyalarını içeren dosya sunucusu veya web sunucusunun URL'sini girin. Örneğin, http://server1/CTL veya file://\\server1\CTL.Tamam'a tıklayın. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

İlke hemen etkili olur, ancak yeni ayarları almaları için istemci bilgisayarların yeniden başlatılması gerekir. Ya da yükseltilmiş bir komut isteminden veya Windows PowerShell içinden gpupdate /force yazabilirsiniz.

System_CAPS_ICON_important.jpg Önemli


Güvenilir ve güvenilir olmayan CTL'ler zamanlanmış bir görev veya başka bir yöntem (örneğin, hata koşullarını işleme betiği) kullanılarak dosyaları eşitlenmiş olarak tutmanızı sağlamak için paylaşılan klasör veya web sanal dizini güncelleştirmek üzere günlük olarak güncelleştirilebilir. Zamanlanmış görev oluşturma hakkında daha fazla bilgi için, bkz. Görev Zamanlama. Günlük güncelleştirmeler yapmak için bir betik yazmayı planlıyorsanız, bu belgenin Yeni Certutil Seçenekleri ve Certutil ile olası hatalar -SyncWithWU bölümlerine bakın. Bu bölümler komut seçenekleri ve hata durumları hakkında daha fazla bilgi sağlar.

Bazı kuruluşlar, yalnızca güvenilir olmayan CTL'lerin (güvenli CTL'ler değil) otomatik olarak güncelleştirilmesini isteyebilir. Bunu gerçekleştirmek için Grup İlkesi'ne eklenecek iki .adm şablonu oluşturabilirsiniz.

System_CAPS_ICON_important.jpg Önemli

  1. Bağlantısı kesilmiş bir ortamda, önceki yordamla (güvenilir ve güvenilir olmayan CTL'ler için Microsoft Otomatik Güncelleştirme URL'sini yeniden yönlendirme), aşağıdaki yordamı kullanabilirsiniz. Bu yordam, seçmeli olarak güvenilir CTL'lerin otomatik güncelleştirilmesinin devre dışı bırakılmasını açıklar.
  2. Siz de bu yordamı yalıtımlı bağlı bir ortamda, seçmeli olarak güvenli CTL'lerin otomatik güncelleştirilmesini devre dışı bırakmak için kullanabilirsiniz.

Sadece güvenilir olmayan CTL'leri seçime bağlı olarak yeniden yönlendirmek için

  1. Bir etki alanı denetleyicisinde bir metin dosyasından başlayarak ve ardından dosya adı uzantısını .adm olarak değiştirerek ilk yeni yönetim şablonunu oluşturun. Dosyanın içeriği aşağıdaki gibi olmalıdır:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. Dosyayı kaydetmek için DisableAllowedCTLUpdate.adm gibi açıklayıcı bir ad kullanın.

  3. İkinci yeni yönetim şablonunu oluşturun. Dosyanın içeriği aşağıdaki gibi olmalıdır:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. Dosyayı kaydetmek için EnableUntrustedCTLUpdate.adm gibi açıklayıcı bir dosya adı kullanın.

    System_CAPS_ICON_tip.jpg İpucu

    • Bu dosyaların dosya adı uzantılarının .adm olduğundan ve .txt olmadığından emin olun.
    • Dosya adı uzantısını görüntülemeyi önceden etkinleştirmediyseniz, bkz. Nasıl Yapılır: Dosya Adı Uzantılarını Görüntüleme.
    • Dosyayı %windir%\inf klasörüne kaydederseniz, aşağıdaki adımlarda bulmak daha kolay olacaktır.
  5. Grup İlkesi Yönetimi Düzenleyicisi'ni açın.

  6. Grup İlkesi Yönetim Konsolu'nda Orman, Etki Alanları ve değiştirmek istediğiniz belirli etki alanı nesnesini genişletin.Varsayılan Etki Alanı İlkesi GPO'su seçeneğine sağ tıklayın ve ardından Düzenle'ye tıklayın.

  7. Gezinti bölmesinde, Bilgisayar Yapılandırması altında İlkeler'i genişletin.

  8. Yönetim Şablonları'na sağ tıklayın ve ardından Şablon Ekle/Kaldır'a tıklayın.

  9. Şablon Ekle/Kaldır'da Ekle'ye tıklayın.İlke şablonları iletişim kutusunu daha önce kaydettiğiniz .adm şablonlarını seçmek için kullanın. (CTRL tuşunu basılı tutabilir ve ardından her ikisini de seçmek için her bir dosyaya tıklayabilirsiniz.)'a tıklayın ve ardından Kapat'a tıklayın.

  10. Gezinti bölmesinde, Yönetim Şablonları'nı genişletin ve ardından Klasik Yönetimsel Şablonlar (ADM) seçeneğini genişletin.

  11. Windows Otomatik Güncelleştirme Ayarları'na tıklayın ve ardından ayrıntılar bölmesinde Otomatik Kök Güncelleştirme'ye çift tıklayın.

  12. Devre dışı'nı seçin. Bu ayar, güvenli CTL'lerin otomatik güncelleştirilmesini engeller.Tamam'a tıklayın.

  13. Ayrıntılar bölmesinde Güvenilmeyen CTL Otomatik Güncelleştirme'ye çift tıklayın.Etkin'i seçin.Tamam'a tıklayın.

İlke hemen etkili olur, ancak yeni ayarları almaları için istemci bilgisayarların yeniden başlatılması gerekir. Ya da yükseltilmiş bir komut isteminden veya Windows PowerShell içinden gpupdate /force yazabilirsiniz.

System_CAPS_ICON_important.jpg Önemli


Güvenilir ve güvenilir olmayan CTL'ler, zamanlanmış bir görev veya başka bir yöntem kullanılarak dosyaları eşitlenmiş olarak tutmanızı sağlamak için paylaşılan klasör veya web sanal dizini güncelleştirmek üzere günlük olarak güncelleştirilebilir.

Bu bölüm, kuruluşunuzdaki bilgisayarların kullanmasını istediğiniz güvenilir güvenilen CTL'lerin nasıl üretileceğini, gözden geçirileceğini ve filtreleneceğini açıklar. Bu çözümlemeden yararlanmak için önceki yordamlarda açıklanan GPO'ları uygulamanız gerekir. Bu çözümleme, bağlantısı kesilen ve bağlantılı ortamlar için kullanılabilir.

Güvenilir CTL listesini özelleştirmesini tamamlamak için iki yordam vardır.

  1. Güvenilir sertifikalar alt kümesini oluşturma

  2. Grup İlkesi kullanarak güvenilen sertifikaları dağıtma

Güvenilir sertifikalar alt kümesi oluşturmak için

  1. İnternet'e bağlı bir bilgisayardan Windows PowerShell uygulamasını Yönetici olarak açın ya da yükseltilmiş bir komut istemi açın ve aşağıdaki komutu yazın:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. WURoots.sst açmak için Windows Gezgini'nde, aşağıdaki komutu çalıştırabilirsiniz:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg İpucu


    Dosyaya gitmek için Internet Explorer da kullanabilir ve dosyaya çift tıklayarak açabilirsiniz. Depolandığı yere bağlı olarak, dosyayı wuroots.sst yazarak açmanız da mümkün olabilir.

  3. Sertifika Yöneticisi gezinti bölmesinde Sertifikalar - Geçerli kullanıcı altındaki dosya yolunu Sertifikalar'ı görene kadar genişletin ve ardından Sertifikalar'a tıklayın.

  4. Ayrıntılar bölmesinde, güvenilir sertifikaları görebilirsiniz. CTRL tuşunu basılı tutun ve izin vermek istediğiniz Sertifikalar'a tek tek tıklayın. İzin vermek istediğiniz sertifikaları seçmeyi tamamladığınızda, seçilen sertifikalardan birine sağ tıklayın, Tüm Görevler'e tıklayın ve ardından Dışarı Aktar'a tıklayın.

    System_CAPS_ICON_important.jpg Önemli


    .sst dosya türünü dışa aktarmak için en az iki sertifika seçmeniz gerekir. Yalnızca bir sertifika seçerseniz, .sst dosya türü kullanılamaz ve yerine.cer dosya türü seçilir.

  5. Sertifika Dışa Aktarma Sihirbazı'nda, Sonraki seçeneğine tıklayın.

  6. Dışarı Aktarma Dosyası Biçimi sayfasında, seçme Microsoft Serialized Certificate Store (.SST) seçeneğini seçin ve ardından Sonraki seçeneğine tıklayın.

  7. Dışa Aktarılacak Dosya sayfasında, dosya için C:\AllowedCerts.sst gibi bir dosya yolu ve uygun bir ad girin ve ardında Sonraki seçeneğine tıklayın.Son'a tıklayın. Dışa aktarmanın başarılı olduğu bildirildiğinde Tamam'a tıklayın.

  8. Oluşturduğunuz .sst dosyasını bir etki alanı denetleyicisine kopyalayın.

Güvenilen sertifika listesini Grup İlkesi kullanarak dağıtmak için

  1. Özelleştirilmiş .sst dosyasına sahip etki alanı denetleyicisinde Grup İlkesi Yönetimi Düzenleyicisi'ni açın.

  2. Grup İlkesi Yönetim Konsolu'nda Orman, Etki Alanları ve değiştirmek istediğiniz belirli etki alanı nesnesini genişletin.Varsayılan etki alanı ilkesi GPO'su seçeneğine sağ tıklayın ve Düzenle'ye tıklayın.

  3. Gezinti bölmesinde, Bilgisayar Yapılandırması altında, İlkeler'i genişletin, Windows Ayarları'nı genişletin, Güvenlik Ayarları'nı genişletin ve ardından Ortak Anahtar İlkeleri'ni genişletin.

  4. Güvenilen Kök Sertifika Yetkilileri'ne sağ tıklayın ve ardından İçeri Aktar'a tıklayın.

  5. Sertifika İçeri Aktarma Sihirbazı'nda, Sonraki'ye tıklayın.

  6. Etki alanı denetleyicisine kopyaladığınız dosya yolunu ve dosya adını girin veya dosyayı bulmak için Gözat düğmesini kullanın.İleri'ye tıklayın.

  7. Bu sertifikaları Güvenilen Kök Sertifika Yetkilileri sertifika deposuna yerleştirmek istediğinizi Sonraki'ye tıklayarak onaylayın.Son'a tıklayın. Sertifikaların başarıyla içeri aktarıldığı bildirildiğinde Tamam'a tıklayın.

  8. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

İlke hemen etkili olur, ancak yeni ayarları almaları için istemci bilgisayarların yeniden başlatılması gerekir. Ya da yükseltilmiş bir komut isteminden veya Windows PowerShell içinden gpupdate /force yazabilirsiniz.

Bu belgede açıklanan ayarlar istemci bilgisayarlarda aşağıdaki kayıt defteri anahtarlarını yapılandırır. GPO bağlantısı kesilmişse ya da etki alanından kaldırılmışsa, bu ayarlar otomatik olarak kaldırılmaz. Bunları değiştirmek istiyorsanız, bu ayarların özel olarak yapılandırılması gerekir.

Kayıt defteri anahtarlarıDeğer ve Açıklama
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate1 değeri güvenilir CTL Windows Otomatik Güncelleştirme'yi devre dışı bırakır.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate1 değeri, güvenilmeyen CTL Windows Otomatik Güncelleştirme'yi etkinleştirir.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlPaylaşılan konumu (HTTP veya DOSYA yolu) yapılandırır.

Aşağıdaki seçenekler Certutil'e eklenmiştir:

SözdizimiAçıklamaÖrnek
CertUtil [Seçenekler] - syncWithWU DestinationDirWindows Update ile eşitleme.

 
  • DestinationDir otomatik güncelleştirme mekanizmasını kullanarak dosyaları alan bir klasördür.
  • Otomatik güncelleştirme mekanizması kullanılarak aşağıdaki dosyalar yüklenir:

     
    • Authrootstl.cab, Microsoft dışı kök sertifikalarının CTL'lerini içerir.
    • disallowedcertstl.cab güvenilmeyen sertifikaların CTL'lerini içerir.
    • disallowedcert.sst güvenilmeyen sertifikalar dahil olmak üzere, sıralanmış sertifika deposu içerir.
    • <parmakizi>.crt Microsoft dışı kök sertifikalarını içerir.
CertUtil - syncWithWU \\server1\PKI\CTLs
CertUtil [Seçenekler] - generateSSTFromWU SSTFileOtomatik güncelleştirme mekanizmasını kullanarak SST oluşturun.

SSTFile: Oluşturulacak .sst dosyası. Oluşturulan .sst dosyası, otomatik güncelleştirme mekanizmasını kullanarak indirilen Microsoft dışı kök sertifikalarını içerir.
CertUtil – generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg İpucu


Certutil -SyncWithWU -f <folder> hedef klasördeki mevcut dosyaları güncelleştirir.

Certutil -syncWithWU -f -f <folder> hedef klasördeki dosyaları kaldırır ve değiştirir.

Certutil -syncWithWU komutunu çalıştırırken aşağıdaki hatalarla ve uyarılarla karşılaşabilirsiniz:

  • Var olmayan yerel bir yolu veya klasörü hedef klasör olarak kullanırsanız, şu hata iletisiyle karşılaşırsınız:

    Sistem belirtilen dosyayı bulamıyor. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND)

  • Hedef klasör olarak var olmayan veya kullanılamayan bir ağ konumu kullanırsanız, şu hata iletisiyle karşılaşırsınız:

    Ağ adı bulunamıyor. 0x80070043 (WIN32: 67 ERROR_BAD_NET_NAME)

  • Sunucunuz Microsoft Otomatik Güncelleştirme sunucularına TCP bağlantı noktası 80 üzerinden bağlanamıyorsa aşağıdaki hatayı alırsınız:

    Sunucu ile bağlantı kurulamadı 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)

  • Sunucunuz ctldl.windowsupdate.com DNS adı ile Microsoft Otomatik Güncelleştirme sunucularına ulaşamıyorsa, aşağıdaki hatayı alırsınız:

    Sunucu adı veya adresi çözümlenemedi 0x80072ee7 (INet: 12007 ERROR_INTERNET_NAME_NOT_RESOLVED).

  • -f anahtarını kullanmıyorsanız ve CTL dosyalarından biri dizinde zaten mevcutsa, bir dosya mevcut hatası alırsınız:

    CertUtil: -syncWithWU komutu başarısız: 0x800700b7 (WIN32/HTTP: 183 ERROR_ALREADY_EXISTS) Certutil: Zaten mevcut olan bir dosya oluşturulamaz.

  • Güvenilen kök sertifikalarında bir değişiklik olduğunda şunu görürsünüz: “Uyarı! Artık güvenilir olmayan şu köklerle karşılaşıldı: <klasör yolu>\<parmakizi>.crt. Yukarıdaki ".crt" dosyalarının silinmesi zorlamak için "-f -f" seçeneklerini kullanın. "Authrootstl.cab" güncelleştirildi mi? Evet ise, tüm istemciler güncelleştirilene kadar silmeyi ertelemeyi düşünün.

Show: