Certifikáty a důvěra ve Windows

Program kořenových certifikátů společnosti Microsoft umožňuje distribuci důvěryhodných a nedůvěryhodných kořenových certifikátů v operačních systémech Windows. Tento článek vysvětluje, jak se ve Windows spravují certifikáty a seznamy důvěryhodnosti, a výhody automatických aktualizací pro zachování zabezpečení. Další informace o seznamu členů programu Kořenový certifikát systému Windows naleznete v tématu Seznam účastníků – Důvěryhodný kořenový program společnosti Microsoft.

Důvěryhodné a nedůvěryhodné kořenové certifikáty používají operační systémy Windows a aplikace jako referenci při určování důvěryhodnosti hierarchie infrastruktury veřejných klíčů (PKI) a digitálních certifikátů. Nedůvěryhodné kořenové certifikáty jsou certifikáty, o kterých je veřejně známo, že jsou podvodné. Funkce důvěryhodných a nedůvěryhodných kořenových certifikátů funguje ve všech prostředích bez ohledu na to, jestli jsou připojená nebo odpojená.

Důvěryhodné a nedůvěryhodné kořenové certifikáty jsou obsaženy v seznamu důvěryhodnosti certifikátu (CTL). Pokud chcete distribuovat kořenové certifikáty, použijte CTL. Windows Server nabízí funkce automatické denní aktualizace, které zahrnují stahování nejnovějších seznamů CTLS. Seznam důvěryhodných a nedůvěryhodných kořenových certifikátů se označuje jako důvěryhodný CTL a nedůvěryhodný CTL. Další informace najdete v tématu Oznámení automatizovaného aktualizátoru nedůvěryhodných certifikátů a klíčů.

Servery a klienti přistupují k lokalitě služby Windows Update a aktualizují hodnotu CTL pomocí mechanismu automatické denní aktualizace (CTL updater), který je popsán v tomto článku. Funkce aktualizátoru CTL můžete využít tak, že nainstalujete příslušné aktualizace softwaru. Pokyny k instalaci aktualizací softwaru do podporovaných operačních systémů, které jsou popsány v tomto článku, najdete v článku Konfigurace důvěryhodných kořenových certifikátů a nepovolených certifikátů .

Automatické aktualizace seznamu důvěryhodnosti certifikátů

Ve výchozím nastavení systém Windows stáhne seznamy CTL z internetu prostřednictvím automatického mechanismu označovaného jako CTL Updater. Veřejné adresy URL používané aktualizátorem CTL je možné zpřístupnit klientům:

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Funkce automatické aktualizace je také možné v případě potřeby zakázat, i když se nedoporučuje.

Alternativně můžete také vytvořit šablony pro správu zásad skupiny (zásady ADMX), které budou přesměrovány na interní server pro aktualizace.

Umístění registru, kde jsou uložené důvěryhodné a nedůvěryhodné CTL:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

Výhody aktualizátoru CTL

Funkce automatické aktualizace pomocí nástroje CTL Updater přináší několik výhod:

• Nastavení registru pro ukládání seznamů CTL Nová nastavení umožňují změnit umístění pro nahrání důvěryhodných nebo nedůvěryhodných seznamů CTLS z webu Windows Update na sdílené umístění v organizaci. Viz Nastavení registru Změněno.

• Synchronization options If the URL for the Windows Update site is moved to a local shared folder, the local shared folder must be synchronized with the Windows Update folder. Tato aktualizace softwaru přidá sadu možností v nástroji Certutil, který používáte k povolení synchronizace. For more information, see the Certutil -syncWithWU Windows command reference.

• Nástroj pro výběr důvěryhodných kořenových certifikátů Tato aktualizace softwaru představuje nástroj pro správu sady důvěryhodných kořenových certifikátů ve vašem podnikovém prostředí. Můžete zobrazit a vybrat sadu důvěryhodných kořenových certifikátů, exportovat je do serializovaného úložiště certifikátů a distribuovat je pomocí zásad skupiny. Další informace naleznete v referenční dokumentaci příkazu Certutil -generateSSTFromWU SSTFile Windows.

• Independent configurability The automatic update mechanism for trusted and untrusted certificates are independently configurable; you can use the automatic update mechanism to download only the untrusted CTLs and manage your own list of trusted CTLs. Další informace naleznete v tématu Nastavení registru změněno.

Pokyny k instalaci aktualizací softwaru v podporovaných operačních systémech, které jsou popsány v tomto článku, najdete v tématu Konfigurace důvěryhodných kořenových certifikátů a nepovolených certifikátů .

Funkce automatické aktualizace je možné v případě potřeby zakázat, ale nedoporučuje se.

Next steps

Teď rozumíte více o důvěryhodných kořenových a nepovolenějších certifikátech ve Windows, tady je několik dalších článků, které vám můžou pomoct při konfiguraci systémů.

• Konfigurace důvěryhodných kořenových certifikátů a zakázání certifikátů

• Seznam účastníků – Důvěryhodný kořenový program Microsoftu

• Ovládání funkce aktualizace kořenových certifikátů, aby se zabránilo toku informací do a z internetu

• ID události 8 – konfigurace automatické aktualizace kořenových certifikátů

• certutil Windows command reference