設定受信任的根目錄和不允許的憑證

 

適用於: Windows 8.1、Windows Server 2012 R2

Windows Server 2012 R2、Windows 2012 Server、Windows 8.1 和 Windows 8 作業系統包含自動更新機制,可每天下載憑證信任清單 (CTL)。 而在 Windows Server 2012 R2 和 Windows 8.1 有額外的功能,可用來控制 CTL 更新的方式。

System_CAPS_ICON_important.jpg 重要


Windows 2012 Server、Windows Server 2008 R2、Windows Server 2008、Windows 8、Windows 7 和 Windows Vista 都有軟體更新可供套用。 為了提供本文討論的自動更新機制增強功能,請套用下列更新:

  • 對於 Windows Server 2008 R2、Windows Server 2008、Windows 7或 Windows Vista,請套用 Microsoft 知識庫文件 2677070 中所列的適當更新。
  • 對於 Windows 2012 Server、Windows Server 2008 R2、Windows Server 2008、Windows 8, Windows 7或 Windows Vista,請套用 Microsoft 知識庫文件 2813430 中所列的適當更新。

Microsoft 根憑證計劃可在 Windows 作業系統內發佈受信任的根憑證。 如需 Microsoft 根憑證計劃成員清單的詳細資訊,請參閱 Windows 根憑證計劃 - 成員清單 (所有 CA)

受信任的根憑證應該要放在 Windows 作業系統中的「受信任的根憑證授權單位」憑證。 這些憑證受到作業系統的信任,而且應用程式可以使用這些憑證來參照可信任的公開金鑰基礎結構 (PKI) 階層和數位憑證。 發佈受信任的根憑證有兩種方法:

  1. 自動:受信任的根憑證清單儲存在 CTL 中。 用戶端電腦使用自動更新機制存取 Windows Update 網站來更新這個 CTL。

    System_CAPS_ICON_note.jpg 注意


    受信任的根憑證清單稱為受信任的 CTL。

  2. 手動:Microsoft 下載中心和 Windows Catalog 以自我解壓縮 IEXPRESS 封裝的形式提供受信任的根憑證清單,或是使用 Windows Server Update Services (WSUS) 來取得此清單。 IEXPRESS 封裝會與受信任的 CTL 同時發行。

System_CAPS_ICON_note.jpg 注意


如需這些更新方法的詳細資訊,請參閱 Microsoft 知識庫文件 931125

未受信任的憑證是公認為有詐騙嫌疑的憑證。 與受信任的 CTL 相似,您可使用兩種機制來發佈未受信任的憑證清單:

  1. 自動:未受信任的憑證清單儲存在 CTL 中。 用戶端電腦使用自動更新機制存取 Windows Update 網站來更新這個 CTL。

    System_CAPS_ICON_note.jpg 注意


    未受信任的憑證清單稱為未受信任的 CTL。 如需詳細資訊,請參閱宣告不可信賴的憑證和金鑰的自動更新程式

  2. 手動:在必要的安全性 Windows Update 中,未受信任的憑證清單會以自我解壓縮的 IEXPRESS 封裝形式提供。

在 Windows Server 2012 R2 和 Windows 8.1 (或是先前所討論的軟體更安裝) 之前,是使用相同的登錄設定來控制受信任的根憑證更新和未受信任的憑證更新。 系統管理員無法選擇性地啟用或停用其中一個。 這會產生下列挑戰:

  • 如果組織處於中斷連線的環境,更新 CTL 的唯一方法就是使用 IEXPRESS 封裝。

    System_CAPS_ICON_note.jpg 注意


    在本文中,若電腦網路中的電腦無法存取 Windows Update 網站,即會將該電腦網路視為中斷連線的環境。

    IEXPRESS 更新方法通常是手動處理程序。 此外,IEXPRESS 封裝可能無法在發行 CTL 時立即取得,因此,在使用這個方法時安裝這些更新會產生其他延遲時間。

  • 儘管我們建議管理受信任的根憑證清單的系統管理員停用受信任 CTL 的自動更新 (在中斷連線或連線的環境中),但不建議停用未受信任的 CTL 的自動更新。

    如需詳細資訊,請參閱控制更新根憑證的憑證功能,防止資訊流入及流出網際網路

  • 由於網路系統管理員沒有任何方法可以只檢視和解壓縮受信任的 CTL 中受信任的根憑證,因此,管理自訂的受信任憑證清單在過去是一項困難的工作。

Windows Server 2012 R2 和 Windows 8.1 提供下列適用於中斷連線環境的改良自動更新機制,也適用於安裝適當軟體更新時:

  • 用於儲存 CTL 的登錄設定 新設定能夠將上傳受信任或未受信任 CTL 的位置從 Windows Update 網站變更為組織中的共用位置。 如需詳細資訊,請參閱 已修改的登錄設定 一節。

  • 同步處理選項 如果將 Windows Update 網站的 URL 移至本機共用資料夾,則本機共用資料夾必須與 Windows Update 資料夾進行同步處理。 這個軟體更新會在 Certutil 工具中新增一組選項,讓系統管理員可以用來啟用同步處理。 如需詳細資訊,請參閱 新的 Certutil 選項 一節。

  • 用來選取受信任根憑證的工具 這個軟體更新所引進的工具可供系統管理員在企業環境中管理受信任的根憑證組合。 系統管理員可以檢視和選取受信任的根憑證組合、將其匯出到序列憑證存放區,然後使用群組原則來發佈它們。 如需詳細資訊,請參閱本文件中的 新的 Certutil 選項 一節。

  • 獨立的設定功能 受信任憑證和未受信任憑證的自動更新機制都是獨立設定的。 透過這種功能,系統管理員便能使用自動更新機制僅下載未受信任的 CTL,並管理他們自己的受信任 CTL 清單。 如需詳細資訊,請參閱本文件中的 已修改的登錄設定 一節。

在 Windows Server 2012 R2 和 Windows 8.1 中 (或是在支援的作業系統上安裝先前提及的軟體更新),系統管理員可以設定檔案或 Web 伺服器,使用自動更新機制來下載下列檔案:

  • authrootstl.cab:包含非 Microsoft 的 CTL

  • disallowedcertstl.cab:包含具備未受信任憑證的 CTL

  • disallowedcert.sst:包含序列憑證存放區 (包括未受信任的憑證)

  • 指紋.crt:包含非 Microsoft 的根憑證

本文件中的 設定檔案或 Web 伺服器以下載 CTL 檔案 一節說明執行此設定的步驟。

藉由使用 Windows Server 2012 R2 和 Windows 8.1 (或者在支援的作業系統上安裝先前提及的軟體更新),系統管理員可以:

System_CAPS_ICON_important.jpg 重要

  • 您必須使用本機 Administrators 群組成員的帳戶,才能執行本文中所示的所有步驟。 針對所有的 Active Directory 網域服務 (AD DS) 設定步驟,您使用的帳戶必須是 Domain Admins 群組的成員或者已被委派所需的權限。

  • 本文中的程序需要至少一部電腦能夠連線到網際網路,以便從 Microsoft 下載 CTL。 該電腦需要有 HTTP (TCP 連接埠 80) 存取和名稱解析 (TCP 與 UDP 連接埠 53) 功能來聯繫 ctldl.windowsupdate.com。 這部電腦可以是網域成員或工作群組的成員。 目前所有下載的檔案大約需要 1.5 MB 的空間。

  • 本文所述的設定都是透過使用 GPO 來實作。 如果 GPO 尚未連結或已從 AD DS 網域移除,並不會自動移除這些設定。 實作之後,只能使用 GPO 或修改受影響電腦的登錄來變更這些設定。

  • 本文所討論的概念與 Windows Server Update Services (WSUS) 無關。

    • 您不需使用 WSUS 來實作本文所討論的設定。
    • 如果您使用了 WSUS,這些指示將不會影響它的功能。
    • 實作 WSUS 並非實作本文所討論設定的替代做法。

為方便針對中斷連線的環境發佈受信任或未受信任的憑證,您必須先設定檔案或 Web 伺服器,從自動更新機制下載 CTL 檔案。

System_CAPS_ICON_tip.jpg 提示


如果是在電腦能夠直接連線到 Windows Update 網站的環境中,就不需使用本節所述的設定。 可以連線到 Windows Update 網站的電腦每天都能接收到更新的 CTL (若其執行的是 Windows 2012 Server、Windows 8,或者已在支援的作業系統上安裝先前提及的軟體更新)。 如需詳細資訊,請參閱 Microsoft 知識庫文件 2677070

設定有權存取網際網路的伺服器來擷取 CTL 檔案

  1. 在能夠使用自動化更新機制同步處理以及您想要用來儲存 CTL 檔案的檔案或 Web 伺服器上建立共用資料夾。

    System_CAPS_ICON_tip.jpg 提示


    開始之前,您可能必須調整共用資料夾權限和 NTFS 資料夾權限,以允許適當的帳戶存取,特別是您正在使用服務帳戶來進行已排程工作的時候。 如需調整權限的詳細資訊,請參閱管理共用資料夾的使用權限

  2. 在已提高權限的命令提示字元中執行下列命令:

    Certutil -syncWithWU \\<server>\<share>  
    
    

    以實際的伺服器名稱取代 <伺服器>,並以共用資料夾名稱取代 <共用>。 例如,如果您使用名為 CTL 的共用資料夾,針對名為 Server1 伺服器執行這個命令,您可以執行下列命令:

    Certutil -syncWithWU \\Server1\CTL  
    
    
  3. 在伺服器上下載 CTL 檔案,而處於中斷連線環境的電腦可以使用 FILE 路徑 (例如,FILE://\\Server1\CTL) 或 HTTP 路徑 (例如,HTTP://Server1/CTL),透過網路來存取該伺服器。

System_CAPS_ICON_note.jpg 注意

  • 如果無法從中斷連線環境中的電腦存取可同步處理 CTL 的伺服器,您就必須提供其他方法來傳輸資訊。 例如,您可以允許其中一部網域成員電腦連線到該伺服器,然後在網域成員電腦上排程其他工作,將資訊提取到內部 Web 伺服器上的共用資料夾。 如果絕對不會有網路連線,您可能必須使用手動處理程序來傳輸檔案,例如使用卸除式儲存裝置。
  • 如果您計畫使用 Web 伺服器,必須為 CTL 檔案建立新的虛擬目錄。 使用網際網路資訊服務 (IIS) 建立虛擬目錄的步驟,幾乎與本文討論的所有支援作業系統步驟相同。 如需詳細資訊,請參閱建立虛擬目錄 (IIS7)
  • 請注意,Windows 中特定的系統和應用程式資料夾都具有特殊的保護措施。 例如,inetpub 資料夾需要特殊的存取權限,這讓使用者難以建立與排程工作搭配使用以傳輸檔案的共用資料夾。 身為系統管理員,您通常能夠在邏輯磁碟機系統的根資料夾上建立資料夾位置,以便在進行檔案傳輸時使用。

如果已將網路中的電腦設定於網域環境中,但它們無法使用自動下載機制或下載 CTL,您可以在 AD DS 中實作 GPO 來設定這些電腦,以從替代位置取得 CTL 更新。

System_CAPS_ICON_note.jpg 注意


您必須已經完成設定檔案或 Web 伺服器以下載 CTL 檔案中的步驟,才能進行本節的設定。

設定適用於 GPO 的自訂系統管理範本

  1. 在網域控制站上,建立新的系統管理範本。 您可以利用文字檔開啟這個範本,然後將副檔名變更為 .adm。 檔案的內容應該如下:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"  
        POLICY !!RootDirURL  
           EXPLAIN !!RootDirURL_help  
           PART !!RootDirURL EDITTEXT  
                 VALUENAME "RootDirURL"  
           END PART  
        END POLICY  
    END CATEGORY  
    [strings]  
    RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"  
    RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. 使用描述性名稱來儲存檔案,例如 RootDirURL.adm

    System_CAPS_ICON_tip.jpg 提示

    • 確定副檔名為 .adm,而不是 .txt。
    • 如果您尚未啟用副檔名檢視,請參閱 做法:檢視副檔名
    • 如果您將檔案儲存到 %windir%\inf 資料夾,將能夠更容易在下列步驟中找到該檔案。
  3. 開啟 [群組原則管理編輯器]。

    • 如果您正在使用 Windows Server 2008 R2 或 Windows Server 2008,可按一下 [開始],然後按一下 [執行]。

    • 如果您正在使用 Windows Server 2012 R2 或 Windows 2012 Server,可同時按 Windows 鍵和 R 鍵。

    輸入 GPMC.msc,然後按 ENTER 鍵。

    System_CAPS_ICON_caution.jpg 注意


    您可以將新的 GPO 連結到網域或任何組織單位 (OU)。 本文中實作的 GPO 修改會改變受影響電腦的登錄設定。 您無法藉由刪除或取消連結 GPO 來復原這些設定。 您只能在 GPO 設定中回復它們或是使用其他技術來修改登錄,藉以復原這些設定。

  4. 在 [群組原則管理]主控台中,依序展開 [樹系] 物件和 [網域] 物件,然後展開包含您要變更的電腦帳戶的特定網域。 如果您有要修改的特定 OU,則瀏覽到該位置。 按一下現有的 GPO 或使用滑鼠右鍵按一下,然後按一下 [在這個網域中建立 GPO 並連結到] 以建立新的 GPO。 在要修改的 GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。

  5. 在瀏覽窗格中的 [電腦設定] 底下,展開 [原則]。

  6. 在 [系統管理範本] 上按一下滑鼠右鍵,然後按一下 [新增/移除範本]。

  7. 在 [新增/移除範本] 中,按一下 [新增]。 在 [原則範本] 對話方塊中,選取您先前儲存的 .adm 範本。 按一下 [開啟],然後按一下 [關閉]。

  8. 在瀏覽窗格中,依序展開 [系統管理範本] 和 [傳統系統管理範本 (ADM)]。

  9. 按一下 [Windows 自動更新設定],然後在詳細資料窗格中,按兩下 [要使用的 URL 地址 (非預設 ctldl.windowsupdate.com)]。

  10. 選取 [已啟用]。 在 [選項] 區段中,輸入包含 CTL 檔案的檔案伺服器或 Web 伺服器的 URL。 例如,http://server1/CTLfile://\\server1\CTL。 按一下 [確定]。 關閉 [群組原則管理編輯器]。

原則會立即生效,但是用戶端電腦必須重新啟動才能接收新的設定,或者您可以從已提升權限的命令提示字元或 gpupdate /force 輸入 Windows PowerShell。

System_CAPS_ICON_important.jpg 重要


受信任和未受信任的 CTL 可以每日更新,因此,請確定您會使用排程的工作或其他方法 (例如,處理錯誤狀況的指令碼) 讓檔案保持同步,以更新共用的資料夾或 Web 虛擬目錄。 如需建立排程工作的其他詳細資料,請參閱排程工作。 如果您計劃撰寫指令碼以進行每日更新,請參閱本文件中的 新的 Certutil 選項使用 Certutil -SyncWithWU 的潛在錯誤 等小節。 這兩小節將提供更多關於命令選項和錯誤狀況的資訊。

某些組織可能只想要自動更新未受信任的 CTL (而不更新受信任的 CTL)。 為達到這個目的,您可以建立兩個要新增到群組原則的 .adm 範本。

System_CAPS_ICON_important.jpg 重要

  1. 在中斷連線的環境中,您可以將下列程序與先前的程序 (針對受信任的 CTL 和未受信任的 CTL,重新導向 Microsoft 自動更新 URL) 搭配使用。 這個程序說明如何選擇性地停用受信任 CTL 的自動更新。
  2. 您也可以在隔離的連線環境中使用這個程序,選擇性地停用受信任 CTL 的自動更新。

選擇性地停用未受信任的 CTL

  1. 在網域控制站上,一開始先使用文字檔,然後將副檔名變更為 .adm,以建立第一個新的系統管理範本。 檔案的內容應該如下:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!DisableRootAutoUpdate      
           EXPLAIN !!Certificates_config  
           VALUENAME "DisableRootAutoUpdate"  
           VALUEON NUMERIC 0  
              VALUEOFF NUMERIC 1  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    DisableRootAutoUpdate="Auto Root Update"  
    Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  2. 使用描述性名稱來儲存檔案,例如 DisableAllowedCTLUpdate.adm

  3. 建立第二個新的系統管理範本。 檔案的內容應該如下:

    CLASS MACHINE  
    CATEGORY !!SystemCertificates  
        POLICY !!EnableDisallowedCertAutoUpdate          
           EXPLAIN !!Certificates_config  
           VALUENAME "EnableDisallowedCertAutoUpdate"  
           VALUEON NUMERIC 1  
              VALUEOFF NUMERIC 0  
           KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"  
        END POLICY  
    END CATEGORY  
    [strings]  
    EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"  
    Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."  
    SystemCertificates="Windows AutoUpdate Settings"  
    
    
    
  4. 使用描述性檔案名稱來儲存檔案,例如 EnableUntrustedCTLUpdate.adm

    System_CAPS_ICON_tip.jpg 提示

    • 確定這些檔案的副檔名為 .adm,而不是 .txt。
    • 如果您尚未啟用副檔名檢視,請參閱 做法:檢視副檔名
    • 如果您將檔案儲存到 %windir%\inf 資料夾,將能夠更容易在下列步驟中找到該檔案。
  5. 開啟 [群組原則管理編輯器]。

  6. 在 [群組原則管理] 主控台中,依序展開 [樹系] 和 [網域],然後展開您要修改的特定網域物件。 在 [預設網域原則 GPO] 上按一下滑鼠右鍵,然後按一下 [編輯]。

  7. 在瀏覽窗格中的 [電腦設定] 底下,展開 [原則]。

  8. 在 [系統管理範本] 上按一下滑鼠右鍵,然後按一下 [新增/移除範本]。

  9. 在 [新增/移除範本] 中,按一下 [新增]。 使用 [原則範本] 對話方塊,選取您先前儲存的 .adm 範本 (您可以按住 CTRL 鍵,然後按一下每個檔案來選取這兩者)。 按一下 [開啟],然後按一下 [關閉]。

  10. 在瀏覽窗格中,依序展開 [系統管理範本] 和 [傳統系統管理範本 (ADM)]。

  11. 按一下 [Windows AutoUpdate Settings],然後在詳細資料窗格中,按兩下 [自動根憑證更新]。

  12. 選取 [已停用]。 這個設定可防止自動更新受信任的 CTL。 按一下 [確定]。

  13. 在詳細資料窗格中,按兩下 [Untrusted CTL Automatic Update]。 選取 [已啟用]。 按一下 [確定]。

原則會立即生效,但是用戶端電腦必須重新啟動才能接收新的設定,或者您可以從已提升權限的命令提示字元或 Windows PowerShell 輸入 gpupdate /force

System_CAPS_ICON_important.jpg 重要


受信任和未受信任的 CTL 可以每日更新,因此,請確定您會使用排程的工作或其他方法讓檔案保持同步,以更新共用的資料夾或虛擬目錄。

本節說明如何產生、檢閱及篩選您要讓組織中的電腦使用的受信任 CTL。 您必須實作先前程序所述的 GPO,才能使用這個解決方案。 這個解決方案適用於中斷連線和連線的環境。

若要自訂受信任的 CTL 清單,必須完成下列兩個程序。

  1. 建立受信任憑證的子集

  2. 使用群組原則發佈受信任的憑證

建立受信任憑證的子集

  1. 從連線到網際網路的電腦,以系統管理員身分開啟 Windows PowerShell,或者開啟已提升權限的命令提示字元,然後輸入下列命令:

    Certutil -generateSSTFromWU WURoots.sst  
    
    
  2. 您可以在 Windows 檔案總管中執行下列命令來開啟 WURoots.sst:

    start explorer.exe wuroots.sst  
    
    
    System_CAPS_ICON_tip.jpg 提示


    您也可以使用 Internet Explorer 瀏覽到該檔案,然後按兩下該檔案以開啟它。 根據儲存檔案的位置而定,您或許也可以輸入 wuroots.sst 來開啟它。

  3. 在 [憑證管理員] 的瀏覽窗格中,展開 [憑證 - 目前的使用者] 下方的檔案路徑,直到您看見 [憑證] 為止,然後按一下 [憑證]。

  4. 您可以在詳細資料窗格中看到受信任的憑證。 按住 CTRL 鍵,再按一下您要允許的每一個憑證。 當您完成要允許的憑證選取時,使用滑鼠右鍵按一下其中一個選取的憑證、按一下 [所有工作],然後按一下 [匯出]。

    System_CAPS_ICON_important.jpg 重要


    您至少必須選取兩個憑證,才能匯出 .sst 檔案類型。 如果只選取一個憑證,就無法使用 .sst 檔案類型,並會改為選取 .cer 檔案類型。

  5. 在 [憑證匯出精靈] 中,按 [下一步]。

  6. 在 [匯出檔案格式] 頁面上,按一下 [Microsoft 序列憑證存放區 (.SST)],然後按 [下一步]。

  7. 在 [要匯出的檔案] 頁面上,輸入檔案的檔案路徑和適當名稱 (例如,C:\AllowedCerts.sst),然後按 [下一步]。 按一下 [完成]。 當系統通知您匯出成功時,按一下 [確定]。

  8. 將您建立的 .sst 檔案複製到網域控制站。

使用群組原則發佈受信任的憑證清單

  1. 在含有自訂 .sst 檔案的網域控制站上,開啟 [群組原則管理編輯器]。

  2. 在 [群組原則管理] 主控台中,依序展開 [樹系] 和 [網域],然後展開您要修改的特定網域物件。 在 [預設網域原則 GPO] 上按一下滑鼠右鍵,然後按一下 [編輯]。

  3. 在瀏覽窗格的 [電腦設定] 下方,依序展開 [原則]、[Windows 設定] 及 [安全性設定],然後展開 [公開金鑰原則]。

  4. 在 [受信任的根憑證授權單位] 上按一下滑鼠右鍵,然後按一下 [匯入]。

  5. 在 [憑證匯入精靈] 中,按 [下一步]

  6. 輸入您複製到網域控制站的檔案路徑和檔案名稱,或者使用 [瀏覽] 按鈕來尋找檔案。 按 [下一步]。

  7. 按 [下一步],確認您要將這些憑證放置於 [受信任的根憑證授權單位] 憑證存放區中。 按一下 [完成]。 當系統通知您憑證匯入成功時,按一下 [確定]。

  8. 關閉 [群組原則管理編輯器]。

原則會立即生效,但是用戶端電腦必須重新啟動才能接收新的設定,或者您可以從已提升權限的命令提示字元或 Windows PowerShell 輸入 gpupdate /force

本文所述的設定會在用戶端電腦上設定下列登錄機碼。 如果 GPO 尚未連結或已從網域移除,並不會自動移除這些設定。 如果您想要變更這些設定,必須明確地重設。

登錄機碼值和說明
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate值若為 1,會停用受信任 CTL 的 Windows 自動更新。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate值若為 1,會啟用未受信任 CTL 的 Windows 自動更新。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl設定共用的位置 (HTTP 或 FILE 路徑)。

已在 Certutil 中新增下列選項:

語法描述範例
CertUtil [Options] -syncWithWU DestinationDir與 Windows Update 同步。

 
  • DestinationDir 是透過使用自動更新機制接收檔案的資料夾。
  • 下列檔案是使用自動更新機制進行下載:

     
    • authrootstl.cab:包含非 Microsoft 根憑證的 CTL。
    • disallowedcertstl.cab:包含未受信任憑證的 CTL。
    • disallowedcert.sst:包含序列憑證存放區 (包括未受信任的憑證)。
    • <thumbprint>.crt 包含非 Microsoft 的根憑證。
CertUtil -syncWithWU \\server1\PKI\CTLs
CertUtil [Options] -generateSSTFromWU SSTFile使用自動更新機制產生 SST。

SSTFile:要建立的 .sst 檔案。 產生的 .sst 檔案包含非 Microsoft 的根憑證,這個憑證是使用自動更新機制下載的。
CertUtil –generateSSTFromWU TRoots.sst
System_CAPS_ICON_tip.jpg 提示


Certutil -SyncWithWU -f <folder> 會更新目標資料夾中現有的檔案。

Certutil -syncWithWU -f -f <folder> 會移除和取代目標資料夾中的檔案。

您可能會在執行 Certutil -syncWithWU 命令時遇到下列錯誤與警告:

  • 如果您使用不存在的本機路徑或資料夾做為目的地資料夾,將會看見下列錯誤:

    系統找不到指定的檔案。 0x80070002 (WIN32:2 ERROR_FILE_NOT_FOUND)

  • 如果您使用不存在或無法使用的網路位置做為目的地資料夾,將會看見下列錯誤:

    找不到網路名稱。 0x80070043 (WIN32:67 ERROR_BAD_NET_NAME)

  • 如果您的伺服器無法透過 TCP 連接埠 80 連線到 Microsoft 自動更新伺服器,將會收到下列錯誤:

    無法建立與伺服器的連線 0x80072efd (INet:12029 ERROR_INTERNET_CANNOT_CONNECT)

  • 如果您的伺服器無法連接 DNS 名稱為 ctldl.windowsupdate.com 的 Microsoft 自動更新伺服器,將會收到下列錯誤:

    無法解析伺服器名稱或位址 0x80072ee7 (INet:12007 ERROR_INTERNET_NAME_NOT_RESOLVED)。

  • 如果您未使用 -f 參數,而且目錄中已經有 CTL 檔案,將會收到檔案存在的錯誤:

    CertUtil:-syncWithWU 命令失敗:0x800700b7 (WIN32/HTTP:183 ERROR_ALREADY_EXISTS) Certutil:當檔案已存在時,無法建立該檔案。

  • 如果受信任的根憑證中有任何變更,您將會看見:「警告! 發現下列已不再受信任的根憑證:<folder path>\<thumbprint>.crt。 使用 "-f -f" 選項來強制刪除上述 ".crt" 檔案。 "authrootstl.cab" 是否已更新? 若是,請考慮延遲刪除,直到所有用戶端都已更新。」

顯示: