Configurer des racines de confiance et des certificats non autorisés dans Windows

Redirigez l’URL de mise à jour automatique Microsoft vers un serveur web ou un serveur de fichiers hébergeant des listes d’approbation de certificats (CTL), des listes CTL de certificats non approuvés ou un sous-ensemble des fichiers CTL approuvés dans un environnement déconnecté.

Pour en savoir plus sur le fonctionnement du programme de certificat racine Microsoft afin de distribuer automatiquement des certificats racines approuvés sur les systèmes d’exploitation Windows, consultez Certificats et approbation.

Tip

Vous n’avez pas besoin de rediriger l’URL de mise à jour automatique Microsoft pour les environnements où les ordinateurs peuvent se connecter directement au site Windows Update. Les ordinateurs capables de se connecter au site Windows Update peuvent recevoir quotidiennement des listes CTL mises à jour.

Prerequisites

Avant de pouvoir configurer votre environnement déconnecté pour utiliser des fichiers CTL hébergés sur un serveur web ou un serveur de fichiers, vous devez satisfaire les prérequis suivants.

Client prerequisites:

• Au moins un ordinateur capable de se connecter à Internet pour télécharger les listes CTL de Microsoft. L’ordinateur requiert un accès HTTP (port TCP 80) et la fonction de résolution de noms (TCP et port UDP 53) pour contacter ctldl.windowsupdate.com. Cet ordinateur peut être un membre de domaine ou un membre d’un groupe de travail. Actuellement, tous les fichiers téléchargés nécessitent environ 1,5 Mo d’espace.
• Les machines clientes doivent être connectées à un domaine Active Directory Domain Services
• You must be a member of the local Administrators group.

Server prerequisites:

• Un serveur de fichiers ou un serveur web pour héberger les fichiers CTL
• Stratégie de groupe AD ou solution GPM pour déployer les paramètres de configuration sur votre client
• An account that is a member of the Domain Admins group or equivalent permissions

Configuration methods

Un administrateur peut configurer un serveur web ou un serveur de fichiers afin de télécharger les fichiers suivants à l’aide du mécanisme de chargement automatique :

• authrootstl.cab contient une liste CTL non-Microsoft

• disallowedcertstl.cab contient une liste CTL avec des certificats non approuvés

• disallowedcert.sst contient un magasin de certificats sérialisés, y compris des certificats non approuvés

• <thumbprint>.crt contient des certificats racines non-Microsoft

La procédure permettant d’effectuer cette configuration est décrite dans la section Configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL de ce document.

Il existe plusieurs méthodes pour configurer votre environnement afin qu’il utilise des fichiers CTL locaux ou un sous-ensemble de listes CTL de confiance. Vous pouvez appliquer les méthodes suivantes.

• Configurer des ordinateurs membres du domaine des services de domaine Active Directory (AD DS) pour utiliser le mécanisme de mise à jour automatique pour les listes CTL de confiance et non approuvées, sans avoir accès au site Windows Update. Cette configuration est décrite dans la section Rediriger l’URL de mise à jour automatique Microsoft de ce document.

• Configurez les ordinateurs membres de domaine AD DS pour qu'ils optent indépendamment pour les mises à jour automatiques des listes de certificats de confiance (CTL), non approuvées et approuvées. La configuration d’abonnement indépendant est décrite dans la section Rediriger l’URL de mise à jour automatique Microsoft pour les listes CTL non approuvées uniquement de ce document.

• Examiner l’ensemble des certificats racines dans le programme de certificat racine Windows. L’examen de l’ensemble de certificats racines permet aux administrateurs de sélectionner un sous-ensemble de certificats à distribuer au moyen d’un objet de stratégie de groupe. Cette configuration est décrite dans la section Utiliser un sous-ensemble des listes CTL de confiance de ce document.

Important

• Les paramètres décrits dans ce document sont implémentés à l’aide d’objets de stratégie de groupe. Ces paramètres ne sont pas automatiquement supprimés si l'objet de stratégie de groupe est dissocié ou supprimé du domaine AD DS. Une fois implémentés, ces paramètres peuvent être modifiés uniquement à l’aide d’un objet de stratégie de groupe ou en modifiant le Registre des ordinateurs concernés.

• Les concepts abordés dans ce document sont indépendants de WSUS (Windows Server Update Services).

Configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL

Pour faciliter la distribution des certificats de confiance ou non autorisés pour un environnement déconnecté, vous devez d’abord configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL à partir du mécanisme de mise à jour automatique.

Récupérer les fichiers CTL à partir de Windows Update

Vous pouvez récupérer les fichiers CTL à partir du site Windows Update à l’aide de la certutil commande en procédant comme suit :

1. Créez un dossier partagé sur un serveur de fichiers ou Web qui peut lancer la synchronisation à l’aide du mécanisme de mise à jour automatique et que vous voulez utiliser pour stocker les fichiers CTL.

   Tip

   Avant de commencer, vous devrez peut-être ajuster les autorisations de dossier partagé et les autorisations de dossier NTFS pour autoriser l’accès au compte approprié, en particulier si vous utilisez une tâche planifiée avec un compte de service. Pour plus d’informations sur l’adaptation des autorisations, consultez Gestion des autorisations pour des dossiers partagés.

2. À partir d’une invite PowerShell avec élévation de privilèges, exécutez la commande suivante :

   Certutil -syncWithWU \\<server>\<share>
   

   Remplacez <server> par le nom réel du serveur et <share> par le nom du dossier partagé. Par exemple, pour un serveur nommé Server1 avec un dossier partagé nommé CTL, vous exécuterez la commande suivante :

   Certutil -syncWithWU \\Server1\CTL
   

3. Téléchargez les fichiers CTL sur un serveur auquel les ordinateurs d’un environnement déconnecté peuvent accéder sur le réseau à l’aide d’un chemin FILE (par exemple FILE://\\Server1\CTL) ou d’un chemin HTTP (par exemple http://Server1/CTL).

Note

• Si le serveur qui synchronise les listes CTL n’est pas accessible à partir des ordinateurs de l’environnement déconnecté, vous devez fournir une autre méthode pour transférer les informations. Par exemple, vous pouvez permettre à l’un des membres du domaine de se connecter au serveur, puis planifier une autre tâche sur l’ordinateur membre du domaine de façon à extraire les informations dans un dossier partagé ou sur un serveur web interne. S’il n’existe absolument aucune connexion réseau, vous devrez peut-être utiliser un processus manuel pour transférer les fichiers, comme un périphérique de stockage amovible.

• Si vous envisagez d’utiliser un serveur Web, vous devez créer un répertoire virtuel pour les fichiers CTL. Les étapes permettant de créer un répertoire virtuel à l’aide des services Internet (IIS) sont presque les mêmes pour tous les systèmes d’exploitation pris en charge abordés dans ce document. Pour plus d’informations, consultez Créer un répertoire virtuel (IIS 7).

• Une protection spéciale est appliquée à certains dossiers système et d’applications dans Windows. For example, the inetpub folder requires special access permissions, which make it difficult to create a shared folder for use with a scheduled task to transfer files. Un administrateur peut créer un emplacement de dossier à la racine d’un système de lecteurs logiques à utiliser pour les transferts de fichiers.

Rediriger l’URL de mise à jour automatique Microsoft

Les ordinateurs de votre réseau peuvent être configurés dans un environnement déconnecté et, par conséquent, ne pas pouvoir utiliser le mécanisme de mise à jour automatique ou télécharger des listes CTL. Vous pouvez implémenter un objet de stratégie de groupe dans AD DS pour configurer ces ordinateurs afin d’obtenir les mises à jour CTL à partir d’un autre emplacement.

La configuration de cette section part du principe que vous avez déjà effectué la procédure dans Configurer un serveur de fichiers ou web pour télécharger les fichiers CTL.

Pour configurer un modèle d’administration personnalisé pour un objet de stratégie de groupe

1. Sur un contrôleur de domaine, créez un modèle d’administration. Ouvrez un fichier texte dans le Bloc-notes, puis remplacez l’extension de nom de fichier par .adm. Le contenu du fichier doit se présenter comme suit :

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
       POLICY !!RootDirURL
          EXPLAIN !!RootDirURL_help
          PART !!RootDirURL EDITTEXT
                VALUENAME "RootDirURL"
          END PART
       END POLICY
   END CATEGORY
   [strings]
   RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
   RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Utilisez un nom descriptif pour enregistrer le fichier, par exemple RootDirURL.adm.

   • Vérifiez que l’extension de nom de fichier est .adm et non .txt.

   • Si vous devez activer l’affichage de l’extension de nom de fichier, consultez Guide pratique pour afficher les extensions de nom de fichier.

   • Si vous enregistrez le fichier dans le dossier %windir%\inf, il sera plus facile à trouver lors des étapes suivantes.

3. Ouvrez l’Éditeur de gestion des stratégies de groupe. Sélectionnez Démarrer > Exécuter, tapez GPMC.msc, puis appuyez sur Entrée.

   Warning

   Vous pouvez lier un nouvel objet de stratégie de groupe au domaine ou à toute unité d’organisation. Les modifications de l’objet de stratégie de groupe implémentées dans ce document changent les paramètres de Registre des ordinateurs concernés. Vous ne pouvez pas annuler ces paramètres en supprimant l’objet de stratégie de groupe ou sa liaison. Les paramètres ne peuvent être changés qu’en les annulant dans les paramètres de l’objet de stratégie de groupe ou en modifiant le Registre en utilisant une autre technique.

4. Expand the Forest object, expand the Domains object, and then expand the specific domain that contains the computer accounts that you want to change. Si vous voulez modifier une unité d’organisation spécifique, accédez à cet emplacement.

5. Cliquez avec le bouton droit, puis sélectionnez Créer un objet GPO dans ce domaine, et le lier ici pour créer un nouvel objet GPO.

6. In the navigation pane, under Computer Configuration, expand Policies.

7. Right-select Administrative Templates, then select Add/Remove Templates.

8. In Add/Remove Templates, select Add.

9. In the Policy Templates dialog box, select the .adm template that you previously saved. Select Open, then select Close.

10. In the navigation pane, expand Administrative Templates, and then expand Classic Administrative Templates (ADM).

11. Sélectionnez Windows AutoUpdate Settings et, dans le volet d’informations, double-cliquez sur URL address to be used instead of default ctldl.windowsupdate.com.

12. Select Enabled. Dans la section Options, entrez l’URL vers le serveur de fichiers ou Web qui contient les fichiers CTL. Par exemple, http://server1/CTL ou file://\\server1\CTL.

13. Select OK.

14. Fermez l’Éditeur de gestion des stratégies de groupe.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

Important

Les listes CTL approuvées et non approuvées peuvent être mises à jour quotidiennement. Pour conserver les fichiers synchronisés, utilisez une tâche planifiée ou un script. Vérifiez que le script peut gérer les erreurs lors de la mise à jour du dossier partagé ou du répertoire web. For more information about creating a scheduled task using PowerShell, see New-ScheduledTask. If you plan to write a script to make daily updates, see the certutil Windows command reference.

Rediriger l’URL de mise à jour automatique Microsoft pour les listes CTL non approuvées uniquement

Il est possible que certaines organisations ne veuillent mettre à jour automatiquement que les listes CTL non approuvées (et non les listes CTL de confiance). Pour mettre à jour automatiquement uniquement les listes CTL non approuvées, créez deux modèles .adm à ajouter à la stratégie de groupe.

Dans un environnement déconnecté, vous pouvez utiliser la procédure suivante avec la précédente (Rediriger l’URL de mise à jour automatique Microsoft pour un environnement déconnecté). Cette procédure décrit comment désactiver de manière sélective la mise à jour automatique des listes CTL de confiance.

Vous pouvez également appliquer cette procédure dans un environnement connecté en mode d’isolation pour désactiver de manière sélective la mise à jour automatique des listes CTL de confiance.

Pour rediriger de manière sélective uniquement les listes CTL non approuvées

1. Sur un contrôleur de domaine, créez le premier modèle d’administration en commençant par un fichier texte, puis en remplaçant l’extension de nom de fichier par .adm. Le contenu du fichier doit se présenter comme suit :

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!DisableRootAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "DisableRootAutoUpdate"
          VALUEON NUMERIC 0
             VALUEOFF NUMERIC 1
   
       END POLICY
   END CATEGORY
   [strings]
   DisableRootAutoUpdate="Auto Root Update"
   Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Utilisez un nom descriptif pour enregistrer le fichier, par exemple DisableAllowedCTLUpdate.adm.

3. Créez un second modèle d’administration. Le contenu du fichier doit se présenter comme suit :

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!EnableDisallowedCertAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "EnableDisallowedCertAutoUpdate"
          VALUEON NUMERIC 1
             VALUEOFF NUMERIC 0
   
       END POLICY
   END CATEGORY
   [strings]
   EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
   Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

4. Use a descriptive file name to save the file, such as EnableUntrustedCTLUpdate.adm.

   • Vérifiez que l’extension des noms de ces fichiers est .adm et non .txt.

   • Si vous enregistrez le fichier dans le dossier %windir%\inf, il sera plus facile à trouver lors des étapes suivantes.

5. Ouvrez l’Éditeur de gestion des stratégies de groupe.

6. Expand the Forest object, expand the Domains object, and then expand the specific domain that contains the computer accounts that you want to change. Si vous voulez modifier une unité d’organisation spécifique, accédez à cet emplacement.

7. In the navigation pane, under Computer Configuration, expand Policies.

8. Right-select Administrative Templates, then select Add/Remove Templates.

9. In Add/Remove Templates, select Add.

10. In the Policy Templates dialog box, select the .adm template that you previously saved. Select Open, then select Close.

11. In the navigation pane, expand Administrative Templates, then expand Classic Administrative Templates (ADM).

12. Sélectionnez Windows AutoUpdate Settings et, dans le volet d’informations, double-cliquez sur Auto Root Update.

13. Select Disabled, then select OK.

14. Dans le volet d’informations, double-cliquez sur Untrusted CTL Automatic Update, puis sélectionnez Activé et OK.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

Important

Les listes CTL approuvées et non approuvées peuvent être mises à jour quotidiennement. Pour conserver les fichiers synchronisés dans le dossier partagé ou le répertoire virtuel, vous pouvez utiliser une tâche planifiée.

Utiliser un sous-ensemble des listes CTL de confiance

Cette section décrit la façon dont vous pouvez créer, examiner et filtrer les listes CTL de confiance qui doivent être utilisées par les ordinateurs de votre organisation. Vous devez implémenter les objets de stratégie de groupe décrits dans les procédures précédentes pour utiliser cette résolution. Cette résolution est disponible pour les environnements connectés et déconnectés.

Vous devez exécuter deux procédures pour personnaliser la liste des listes CTL de confiance.

1. Créer un sous-ensemble de certificats de confiance

2. Distribuer les certificats de confiance à l’aide de la stratégie de groupe

Créer un sous-ensemble de certificats de confiance

Voici comment générer des fichiers SST à l’aide du mécanisme de mise à jour automatique de Windows. For more information about generating SST files, see the Certutil Windows commands reference. Pour créer un sous-ensemble de certificats approuvés, procédez comme suit :

1. À partir d’un ordinateur connecté à Internet, ouvrez Windows PowerShell en tant qu’administrateur ou, ouvrez une invite de commandes avec élévation de privilèges et tapez la commande suivante :

   Certutil -generateSSTFromWU WURoots.sst
   

2. Exécutez la commande suivante dans l’Explorateur Windows pour ouvrir WURoots.sst :

   start explorer.exe wuroots.sst
   

   Tip

   Vous pouvez également utiliser Internet Explorer pour accéder au fichier et double-cliquer dessus pour l’ouvrir. Selon l’emplacement où vous avez stocké le fichier, vous pouvez également l’ouvrir en tapant wuroots.sst.

3. Ouvrez le gestionnaire de certificats.

4. Développez le chemin du fichier sous Certificats - Utilisateur actuel jusqu’à voir Certificats, puis sélectionnez Certificats.

5. Dans le volet d’informations, les certificats de confiance s’affichent. Hold down the CTRL key and select each of the certificates that you want to allow. When you finished selecting the certificates you want to allow, right-click one of the selected certificates, select All Tasks, then select Export.

   • Vous devez sélectionner au moins deux certificats pour exporter le type de fichier .sst. Si vous ne sélectionnez qu’un certificat, le type de fichier .sst n’est pas disponible, et le type de fichier .cer est sélectionné à la place.

6. In the Certificate Export Wizard, select Next.

7. Dans la page Format du fichier d’exportation, sélectionnez Magasin de certificats sérialisés Microsoft (.SST), puis Suivant.

8. Dans la page Fichier à exporter, entrez un chemin de fichier et un nom approprié pour le fichier, par exemple C:\AllowedCerts.sst, puis sélectionnez Suivant.

9. Select Finish. When you're notified that the export was successful, select OK.

10. Copiez le fichier .sst que vous avez créé sur un contrôleur de domaine.

Pour distribuer la liste des certificats de confiance à l’aide de la stratégie de groupe

1. Sur le contrôleur de domaine qui dispose du fichier .sst personnalisé, ouvrez l’Éditeur de gestion des stratégies de groupe.

2. Expand the Forest, Domains, and specific domain object that you want to modify. Cliquez avec le bouton droit sur l’objet de stratégie de groupe de la stratégie de domaine par défaut, puis sélectionnez Modifier.

3. In the navigation pane, under Computer Configuration, expand Policies, expand Windows Settings, expand Security Settings, then expand Public Key Policies.

4. Cliquez avec le bouton droit sur Autorités de certification racines de confiance, puis sélectionnez Importer.

5. In the Certificate Import Wizard, select Next.

6. Enter the path and file name of the file that you copied to the domain controller, or use the Browse button to locate the file. Select Next.

7. Confirmez que vous voulez placer ces certificats dans le magasin de certificats Autorités de certification racines de confiance en sélectionnant Suivant. select Finish. When you're notified that the certificates imported successfully, select OK.

8. Fermez l’Éditeur de gestion des stratégies de groupe.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

Paramètres de Registre modifiés

Les paramètres décrits dans ce document configurent les clés de Registre suivantes sur les ordinateurs clients. Ces paramètres ne sont pas automatiquement supprimés si l’objet de stratégie de groupe est délié du domaine ou est supprimé de celui-ci. Ces paramètres doivent être reconfigurés si vous voulez les modifier.

• Activez ou désactivez la mise à jour automatique de Windows du CTL de confiance :

  • Key: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
  • Type: REG_DWORD
  • Name: DisableRootAutoUpdate
  • Data: 0 to enabled or 1 to disable.
  • Default: There's no key present by default. Sans clé présente, la valeur par défaut est Activé.

• Activez ou désactivez la mise à jour automatique de Windows de la CTL non approuvée.

  • Key: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
  • Type: REG_DWORD
  • Name: EnableDisallowedCertAutoUpdate
  • Data: 1 to enabled or 0 to disable.
  • Default: There's no key present by default. Sans clé présente, la valeur par défaut est Activé.

• Définissez l’emplacement du fichier CTL partagé (HTTP ou le chemin FILE) :

  • Key: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
  • Type: REG_SZ
  • Name: RootDirUrl
  • Data: Enter a valid HTTP or file URI.
  • Default: There's no key present by default. Sans clé présente, le comportement par défaut consiste à utiliser Windows Update.

Vérifier les listes CTL (Liste de certificats de confiance) approuvées et non approuvées

Il peut être nécessaire pour différentes raisons de vérifier toutes les dll CTL approuvées et non approuvées à partir d’une machine cliente. Les options de Certutil suivantes peuvent être utilisées pour supprimer d’une machine cliente toutes les listes CTL approuvées et non approuvées.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Vérification de l’heure de la dernière synchronisation

Pour vérifier l’heure de synchronisation la plus récente sur l’ordinateur local pour les listes CTL de confiance ou non approuvées, exécutez la commande Certutil suivante :

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"

Related content

• Certificats et confiance

• Liste des participants - Programme de certification racine approuvé Microsoft

• certutil Windows command reference

• Contrôle de la fonctionnalité Mettre les certificats racine à jour pour empêcher le flux d’informations à destination et en provenance d’Internet