Bagikan melalui

Mengonfigurasi akar tepercaya dan sertifikat yang tidak diizinkan di Windows

  • Artikel

Berlaku Untuk: Windows Server (Semua versi yang didukung), klien Windows, Azure Stack HCI.

Alihkan URL Pembaruan Otomatis Microsoft ke file atau server web yang menghosting Daftar Kepercayaan Sertifikat (CTL), CTL yang tidak tepercaya, atau subset file CTL tepercaya di lingkungan yang terputus.

Untuk mempelajari selengkapnya tentang cara kerja Program Sertifikat Akar Microsoft untuk mendistribusikan sertifikat akar tepercaya secara otomatis di seluruh sistem operasi Windows, lihat Sertifikat dan kepercayaan.

Tip

Anda tidak perlu mengalihkan URL Pembaruan Otomatis Microsoft untuk lingkungan tempat komputer dapat tersambung ke situs Windows Update secara langsung. Komputer yang dapat tersambung ke situs Windows Update dapat menerima CTL yang diperbarui setiap hari.

Prasyarat

Sebelum Anda dapat mengonfigurasi lingkungan terputus untuk menggunakan file CTL yang dihosting di file atau server web, Anda perlu menyelesaikan prasyarat berikut.

Prasyarat klien

  • Setidaknya satu komputer yang dapat tersambung ke Internet untuk mengunduh CTL dari Microsoft. Komputer memerlukan akses HTTP (port TCP 80) dan kemampuan resolusi nama (TCP dan port UDP 53) untuk menghubungi ctldl.windowsupdate.com. Komputer ini bisa menjadi anggota domain atau anggota grup kerja. Saat ini semua file yang diunduh membutuhkan sekitar 1,5 MB ruang.
  • Komputer klien harus tersambung ke domain Active Directory Domain Service.
  • Anda harus menjadi anggota grup Administrator lokal.

Prasyarat server

  • Server file atau server web untuk menghosting file CTL.
  • Kebijakan Grup AD atau solusi MDM untuk menyebarkan pengaturan konfigurasi ke klien Anda.
  • Akun yang merupakan anggota grup Admin Domain atau yang telah didelegasikan izin yang diperlukan

Metode konfigurasi

Administrator dapat mengonfigurasi file atau server web untuk mengunduh file berikut dengan menggunakan mekanisme pembaruan otomatis:

  • authrootstl.cab berisi non-Microsoft CTL.

  • disallowedcertstl.cab berisi CTL dengan sertifikat yang tidak tepercaya.

  • disallowedcert.sst berisi penyimpanan sertifikat berseri, termasuk sertifikat yang tidak tepercaya.

  • <thumbprint>.crt berisi sertifikat akar non-Microsoft.

Langkah-langkah untuk melakukan konfigurasi ini dijelaskan dalam bagian Mengonfigurasi file atau server web untuk mengunduh file CTL dari dokumen ini.

Ada beberapa metode untuk mengonfigurasi lingkungan Anda untuk menggunakan file CTL lokal atau subset CTL tepercaya. Metode berikut tersedia.

  • Konfigurasikan komputer anggota domain Active Directory Domain Services (AD DS) untuk menggunakan mekanisme pembaruan otomatis untuk CTL tepercaya dan tidak tepercaya, tanpa memiliki akses ke situs Windows Update. Konfigurasi ini dijelaskan di bagian Alihkan URL Pembaruan Otomatis Microsoft dari dokumen ini.

  • Konfigurasikan komputer anggota domain AD DS untuk ikut serta secara independen untuk pembaruan otomatis CTL yang tidak tepercaya dan tepercaya. Konfigurasi keikutsertaan independen dijelaskan di bagian Mengalihkan URL Pembaruan Otomatis Microsoft hanya untuk CTL yang tidak tepercaya dari dokumen ini.

  • Periksa set sertifikat akar dalam Program Sertifikat Akar Windows. Memeriksa kumpulan sertifikat akar memungkinkan administrator untuk memilih subset sertifikat untuk didistribusikan dengan menggunakan Objek Kebijakan Grup (GPO). Konfigurasi ini dijelaskan di bagian Gunakan subset CTL tepercaya dari dokumen ini.

Penting

  • Pengaturan yang dijelaskan dalam dokumen ini diimplementasikan dengan menggunakan GPO. Pengaturan ini tidak dihapus secara otomatis jika GPO tidak ditautkan atau dihapus dari domain AD DS. Saat diimplementasikan, pengaturan ini hanya dapat diubah dengan menggunakan GPO atau dengan memodifikasi registri komputer yang terpengaruh.

  • Konsep yang dibahas dalam dokumen ini tidak bergantung pada Windows Server Update Services (WSUS).

Mengonfigurasi file atau server web untuk mengunduh file CTL

Untuk memfasilitasi distribusi sertifikat tepercaya atau tidak tepercaya untuk lingkungan yang terputus, Anda harus terlebih dahulu mengonfigurasi file atau server web untuk mengunduh file CTL dari mekanisme pembaruan otomatis.

Mengambil file CTL dari Windows Update

  1. Buat folder bersama pada file atau server web yang dapat disinkronkan dengan menggunakan mekanisme pembaruan otomatis dan yang ingin Anda gunakan untuk menyimpan file CTL.

    Tip

    Sebelum memulai, Anda mungkin harus menyesuaikan izin folder bersama dan izin folder NTFS untuk mengizinkan akses akun yang sesuai, terutama jika Anda menggunakan tugas terjadwal dengan akun layanan. Untuk informasi selengkapnya tentang menyesuaikan izin, lihat Mengelola Izin untuk Folder Bersama.

  2. Dari prompt PowerShell yang ditingkatkan, jalankan perintah berikut:

    Certutil -syncWithWU \\<server>\<share>

    Ganti nama server aktual untuk <server> dan nama folder bersama misalnya <share> , untuk server bernama Server1 dengan folder bersama bernama CTL, Anda akan menjalankan perintah:

    Certutil -syncWithWU \\Server1\CTL

  3. Unduh file CTL di server yang dapat diakses komputer pada lingkungan yang terputus melalui jaringan dengan menggunakan jalur FILE (misalnya, FILE://\\Server1\CTL) atau jalur HTTP (misalnya, http://Server1/CTL).

Catatan

  • Jika server yang menyinkronkan CTL tidak dapat diakses dari komputer di lingkungan yang terputus, Anda harus menyediakan metode lain untuk mentransfer informasi. Misalnya, Anda dapat mengizinkan salah satu anggota domain tersambung ke server, lalu menjadwalkan tugas lain di komputer anggota domain untuk menarik informasi ke folder bersama di server web internal. Jika sama sekali tidak ada koneksi jaringan, Anda mungkin harus menggunakan proses manual untuk mentransfer file, seperti perangkat penyimpanan yang dapat dilepas.

  • Jika Anda berencana menggunakan server web, Anda harus membuat direktori virtual baru untuk file CTL. Langkah-langkah untuk membuat direktori virtual dengan menggunakan Layanan Informasi Internet (IIS) hampir sama untuk semua sistem operasi yang didukung yang dibahas dalam dokumen ini. Untuk informasi selengkapnya, lihat Membuat Direktori Virtual (IIS7).

  • Folder sistem dan aplikasi tertentu di Windows memiliki perlindungan khusus yang diterapkan padanya. Misalnya, folder inetpub memerlukan izin akses khusus, yang menyulitkan untuk membuat folder bersama untuk digunakan dengan tugas terjadwal untuk mentransfer file. Administrator dapat membuat lokasi folder di akar sistem drive logis yang akan digunakan untuk transfer file.

Mengalihkan URL Pembaruan Otomatis Microsoft

Komputer di jaringan Anda mungkin dikonfigurasi di lingkungan yang terputus dan karenanya tidak dapat menggunakan mekanisme pembaruan otomatis atau mengunduh CTL. Anda dapat menerapkan GPO di AD DS untuk mengonfigurasi komputer ini untuk mendapatkan pembaruan CTL dari lokasi alternatif.

Konfigurasi di bagian ini mengharuskan Anda sudah menyelesaikan langkah-langkah dalam Mengonfigurasi file atau server web untuk mengunduh file CTL.

Untuk mengonfigurasi templat administratif kustom untuk GPO

  1. Pada pengendali domain, buat templat administratif baru. Buka file teks di Notepad lalu ubah ekstensi nama file menjadi .adm. Konten file harus sebagai berikut:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

  2. Gunakan nama deskriptif untuk menyimpan file, seperti RootDirURL.adm.

    • Pastikan ekstensi nama file adalah .adm dan bukan .txt.

    • Jika Anda belum mengaktifkan tampilan ekstensi nama file, lihat Cara: Menampilkan Ekstensi Nama File.

    • Jika Anda menyimpan file ke %windir%\inf folder, lebih mudah untuk menemukan dalam langkah-langkah berikut.

  3. Buka Editor Manajemen Kebijakan Grup. Pilih Mulai > Jalankan, ketik GPMC.msc, lalu tekan ENTER.

    Peringatan

    Anda dapat menautkan GPO baru ke domain atau ke unit organisasi (OU) apa pun. Modifikasi GPO yang diterapkan dalam dokumen ini mengubah pengaturan registri komputer yang terpengaruh. Anda tidak dapat membatalkan pengaturan ini dengan menghapus atau membatalkan tautan GPO. Pengaturan hanya dapat dibatalkan dengan mengembalikannya dalam pengaturan GPO atau dengan memodifikasi registri menggunakan teknik lain.

  4. Perluas objek Forest, perluas objek Domain, lalu perluas domain tertentu yang berisi akun komputer yang ingin Anda ubah. Jika Anda memiliki unit organisasi tertentu yang ingin Anda ubah, navigasikan ke lokasi tersebut.

  5. Pilih kanan lalu pilih Buat GPO di domain ini, dan Tautkan di sini untuk membuat GPO baru.

  6. Di panel navigasi, di bawah Konfigurasi Komputer, perluas Kebijakan.

  7. Pilih kanan Templat Administratif, lalu pilih Tambahkan/Hapus Templat.

  8. Di Tambahkan/Hapus Templat, pilih Tambahkan.

  9. Dalam kotak dialog Templat Kebijakan, pilih .adm templat yang sebelumnya Anda simpan. Pilih Buka, lalu pilih Tutup.

  10. Di panel navigasi, perluas Templat Administratif, lalu perluas Templat Administratif Klasik (ADM).

  11. Pilih Pengaturan Windows AutoUpdate, dan di panel detail, pilih dua kali alamat URL yang akan digunakan alih-alih ctldl.windowsupdate.com default.

  12. Pilih Diaktifkan. Di bagian Opsi, masukkan URL ke server file atau server web yang berisi file CTL. Misalnya, http://server1/CTL atau file://\\server1\CTL.

  13. Pilih OK.

  14. Tutup Editor Manajemen Kebijakan Grup.

Kebijakan ini segera efektif, tetapi komputer klien harus dimulai ulang untuk menerima pengaturan baru, atau Anda dapat mengetik gpupdate /force dari prompt perintah yang ditingkatkan atau dari Windows PowerShell.

Penting

CTL tepercaya dan tidak tepercaya dapat diperbarui setiap hari, jadi pastikan Anda menjaga file tetap sinkron dengan menggunakan tugas terjadwal atau metode lain (seperti skrip yang menangani kondisi kesalahan) untuk memperbarui folder bersama atau direktori virtual web. Untuk informasi selengkapnya tentang membuat tugas terjadwal menggunakan PowerShell, lihat New-ScheduledTask. Jika Anda berencana menulis skrip untuk membuat pembaruan harian, lihat referensi perintah Certutil Windows.

Mengalihkan URL Pembaruan Otomatis Microsoft hanya untuk CTL yang tidak tepercaya

Beberapa organisasi mungkin hanya ingin CTL yang tidak tepercaya (bukan CTL tepercaya) yang diperbarui secara otomatis. Untuk memperbarui hanya CTL yang tidak tepercaya secara otomatis, buat dua .adm templat untuk ditambahkan ke Kebijakan Grup.

Di lingkungan terputus, Anda dapat menggunakan prosedur berikut dengan prosedur sebelumnya (mengalihkan URL Pembaruan Otomatis Microsoft untuk CTL tepercaya dan CTL yang tidak tepercaya). Prosedur ini menjelaskan cara menonaktifkan pembaruan otomatis CTL tepercaya secara selektif.

Anda juga dapat menggunakan prosedur ini di lingkungan yang terhubung dalam isolasi untuk menonaktifkan pembaruan otomatis CTL tepercaya secara selektif.

Untuk mengalihkan hanya CTL yang tidak tepercaya secara selektif

  1. Pada pengendali domain, buat templat administratif baru pertama dengan memulai dengan file teks lalu ubah ekstensi nama file menjadi .adm. Konten file harus sebagai berikut:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!DisableRootAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1

    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  2. Gunakan nama deskriptif untuk menyimpan file, seperti DisableAllowedCTLUpdate.adm.

  3. Buat templat administratif baru kedua. Konten file harus sebagai berikut:

    CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
    POLICY !!EnableDisallowedCertAutoUpdate
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0

    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

  4. Gunakan nama file deskriptif untuk menyimpan file, seperti EnableUntrustedCTLUpdate.adm.

    • Pastikan bahwa ekstensi nama file dari file-file ini adalah .adm dan bukan .txt.

    • Jika Anda menyimpan file ke %windir%\inf folder, lebih mudah untuk menemukan dalam langkah-langkah berikut.

  5. Buka Editor Manajemen Kebijakan Grup.

  6. Perluas objek Forest, perluas objek Domain, lalu perluas domain tertentu yang berisi akun komputer yang ingin Anda ubah. Jika Anda memiliki unit organisasi tertentu yang ingin Anda ubah, navigasikan ke lokasi tersebut.

  7. Di panel navigasi, di bawah Konfigurasi Komputer, perluas Kebijakan.

  8. Pilih kanan Templat Administratif, lalu pilih Tambahkan/Hapus Templat.

  9. Di Tambahkan/Hapus Templat, pilih Tambahkan.

  10. Dalam kotak dialog Templat Kebijakan, pilih .adm templat yang sebelumnya Anda simpan. Pilih Buka, lalu pilih Tutup.

  11. Di panel navigasi, perluas Templat Administratif, lalu perluas Templat Administratif Klasik (ADM).

  12. Pilih Windows AutoUpdate Pengaturan, lalu di panel detail, klik dua kali Pembaruan Akar Otomatis.

  13. Pilih Nonaktifkan, lalu pilih OKE.

  14. Di panel detail, klik ganda Pembaruan Otomatis CTL Tidak Tepercaya, lalu pilih Diaktifkan dan OK.

Kebijakan ini segera efektif, tetapi komputer klien harus dimulai ulang untuk menerima pengaturan baru, atau Anda dapat mengetik gpupdate /force dari prompt perintah yang ditingkatkan atau dari Windows PowerShell.

Penting

CTL tepercaya dan tidak tepercaya dapat diperbarui setiap hari, jadi pastikan Anda menjaga file tetap sinkron dengan menggunakan tugas terjadwal atau metode lain untuk memperbarui folder bersama atau direktori virtual.

Menggunakan subset CTL tepercaya

Bagian ini menjelaskan cara menghasilkan, meninjau, dan memfilter CTL tepercaya yang Anda inginkan untuk digunakan komputer di organisasi Anda. Anda harus menerapkan GPO yang dijelaskan dalam prosedur sebelumnya untuk menggunakan resolusi ini. Resolusi ini tersedia untuk lingkungan yang terputus dan terhubung.

Ada dua prosedur untuk menyesuaikan daftar CTL tepercaya.

  1. Membuat subset sertifikat tepercaya

  2. Mendistribusikan sertifikat tepercaya dengan menggunakan Kebijakan Grup

Untuk membuat subset sertifikat tepercaya

Berikut cara membuat file SST dengan menggunakan mekanisme pembaruan Windows otomatis dari Windows. Untuk informasi selengkapnya tentang membuat file SST, lihat referensi perintah Certutil Windows.

  1. Dari komputer yang tersambung ke Internet, buka Windows PowerShell sebagai Administrator atau buka prompt perintah yang ditinggikan, dan ketik perintah berikut:

    Certutil -generateSSTFromWU WURoots.sst

  2. Jalankan perintah berikut di Windows Explorer untuk membuka WURoots.sst:

    start explorer.exe wuroots.sst

    Tip

    Anda juga dapat menggunakan Internet Explorer untuk menavigasi ke file dan mengklik dua kali untuk membukanya. Tergantung di mana Anda menyimpan file, Anda mungkin juga dapat membukanya dengan mengetik wuroots.sst.

  3. Buka Manajer Sertifikat.

  4. Perluas jalur file di bawah Sertifikat - Pengguna Saat Ini hingga Anda melihat Sertifikat, lalu pilih Sertifikat.

  5. Di panel detail, Anda bisa melihat sertifikat tepercaya. Tahan tombol CTRL dan pilih setiap sertifikat yang ingin Anda izinkan. Setelah selesai memilih sertifikat yang ingin Anda izinkan, klik kanan salah satu sertifikat yang dipilih, pilih Semua Tugas, lalu pilih Ekspor.

    • Anda harus memilih minimal dua sertifikat untuk mengekspor .sst jenis file. Jika Anda hanya memilih satu sertifikat, .sst jenis file tidak tersedia, dan .cer jenis file dipilih sebagai gantinya.

  6. Di Wizard Ekspor Sertifikat, pilih Berikutnya.

  7. Pada halaman Ekspor Format File, pilih Microsoft Serialized Certificate Store (. SST), lalu pilih Berikutnya.

  8. Pada halaman File ke Ekspor , masukkan jalur file dan nama yang sesuai untuk file, seperti C:\AllowedCerts.sst, lalu pilih Berikutnya.

  9. Pilih Selesai. Saat Anda diberi tahu bahwa ekspor berhasil, pilih OK.

  10. .sst Salin file yang Anda buat ke pengendali domain.

Untuk mendistribusikan daftar sertifikat tepercaya dengan menggunakan Kebijakan Grup

  1. Pada pengendali domain yang memiliki file yang dikustomisasi .sst , buka Editor Manajemen Kebijakan Grup.

  2. Perluas Forest, Domain, dan objek domain tertentu yang ingin Anda ubah. Klik kanan GPO Kebijakan Domain Default, lalu pilih Edit.

  3. Di panel navigasi, di bawah Konfigurasi Komputer, perluas Kebijakan, perluas Windows Pengaturan, perluas Pengaturan Keamanan, lalu perluas Kebijakan Kunci Publik.

  4. Klik kanan Otoritas Sertifikasi Akar Tepercaya, lalu pilih Impor.

  5. Di Wizard Impor Sertifikat, pilih Berikutnya.

  6. Masukkan jalur dan nama file file yang Anda salin ke pengendali domain, atau gunakan tombol Telusuri untuk menemukan file. Pilih Selanjutnya.

  7. Konfirmasikan bahwa Anda ingin menempatkan sertifikat ini di penyimpanan sertifikat Otoritas Sertifikasi Akar Tepercaya dengan memilih Berikutnya. pilih Selesai. Saat Anda diberi tahu bahwa sertifikat berhasil diimpor, pilih OK.

  8. Tutup Editor Manajemen Kebijakan Grup.

Kebijakan ini segera efektif, tetapi komputer klien harus dimulai ulang untuk menerima pengaturan baru, atau Anda dapat mengetik gpupdate /force dari prompt perintah yang ditingkatkan atau dari Windows PowerShell.

Pengaturan registri diubah

Pengaturan yang dijelaskan dalam dokumen ini mengonfigurasi kunci registri berikut pada komputer klien. Pengaturan ini tidak dihapus secara otomatis jika GPO tidak ditautkan atau dihapus dari domain. Pengaturan ini harus dikonfigurasi ulang, jika Anda ingin mengubahnya.

  • Aktifkan atau nonaktifkan Windows AutoUpdate dari CTL tepercaya:

    • Kunci: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
    • Jenis: REG_DWORD
    • Nama: DisableRootAutoUpdate
    • Data: 0 untuk diaktifkan atau 1 dinonaktifkan.
    • Default: Tidak ada kunci yang ada secara default. Tanpa kunci yang ada, default diaktifkan.

  • Aktifkan atau nonaktifkan Windows AutoUpdate dari CTL yang tidak tepercaya:

    • Kunci: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
    • Jenis: REG_DWORD
    • Nama: EnableDisallowedCertAutoUpdate
    • Data: 1 untuk diaktifkan atau 0 dinonaktifkan.
    • Default: Tidak ada kunci yang ada secara default. Tanpa kunci yang ada, default diaktifkan.

  • Atur lokasi file CTL bersama (HTTP atau jalur FILE):

    • Kunci: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
    • Jenis: REG_SZ
    • Nama: RootDirUrl
    • Data: Masukkan HTTP atau URI file yang valid.
    • Default: Tidak ada kunci yang ada secara default. Tanpa kunci yang ada, perilaku default menggunakan Windows Update.

Verifikasi CTL Tepercaya dan Tidak Tepercaya

Mungkin diperlukan untuk berbagai alasan untuk memverifikasi semua CTL Tepercaya dan Tidak Tepercaya dari komputer klien. Opsi Certutil berikut dapat digunakan untuk memverifikasi semua CTL Tepercaya dan Tidak Tepercaya dari komputer klien.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Memeriksa Waktu Sinkronisasi Terakhir

Untuk memeriksa waktu sinkronisasi terbaru pada komputer lokal untuk CTL Tepercaya atau Tidak Tepercaya, jalankan perintah Certutil berikut:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"