Удаление сертификата ЦС федеральной общей политики США из доверенного корня Майкрософт

В этой статье рассматривается удаление корневого сертификата ЦС федеральной политики США в обновлении корневого сертификата Microsoft Root 24 мая 2022 г. В этой статье также приведены решения для предотвращения или устранения проблем, которые возникнут, если предприятия не перешли на корневой сертификат Федеральной общей политики CA G2 до удаления корневого сертификата ЦС федеральной общей политики из списка доверия сертификатов Майкрософт (CTL) к 24 мая 2022 года.

Примечание.

Корневой сертификат, удаленный обновлением корневого сертификата Майкрософт, называется "ЦС федеральной общей политики" и обычно называется корневым сертификатом G1, даже если "G1" не отображается в имени сертификата.

Корневой сертификат, заменяющий корневой сертификат G1, называется "Federal Common Policy CA G2" и обычно называется корневым сертификатом G2.

Область применения: все версии Windows

Введение

Команда США Федеральной PKI (FPKI), которая управляет ЦС Федеральной общей политики США официально попросила удалить корневой сертификат G1, указанный ниже из доверенной корневой программы Майкрософт.

Имя сертификата	Отпечаток SHA1
Федеральный общий центр сертификации	905F942FD9F28F679B378180FD4F846347F645C1

Приложения и операции, зависящие от корневого сертификата G1, завершаются сбоем через семь дней после получения обновления корневого сертификата. Администраторы должны перейти от существующего корневого сертификата G1 к замене корневого сертификата G2, указанного ниже в качестве привязки федерального доверия вашего агентства.

Имя сертификата	Отпечаток SHA1
Федеральная общая политика CA G2	99B4251E2EEE05D8292E8397A90165293D16028

Примечание.

Корневой сертификат G2 можно скачать непосредственно из файла crt корневого сертификата G2.

Возможные проблемы

После удаления корневого сертификата G1 пользователи в средах, которые не перешли на корневой сертификат G2, могут столкнуться с проблемами, влияющими на следующие сценарии:

• TLS или SSL-подключения.
• Безопасная или многоцелевая рассылка расширений электронной почты (S/MIME) или безопасная электронная почта.
• Подписанные документы в Microsoft Word. (ФАЙЛЫ PDF и Adobe Acrobat не будут затронуты.)
• Проверка подлинности клиента, включая установку VPN-подключений.
• Доступ с проверкой подлинности смарт-карты или PIV, включая доступ к значкам, который полностью зависит от программного обеспечения Windows.

В всплывающих окнах и диалоговых окнах могут отображаться следующие сообщения об ошибках:

• Сертификат безопасности сайта не является доверенным.

• Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным ЦС.

• Цепочка сертификатов обработана, но завершена в корневом сертификате, который не является доверенным поставщиком доверия.

• Ошибка цепочки сертификатов.

• Цепочка сертификатов не была выпущена доверенным центром сертификации.

• Сертификат или связанная цепочка недопустимы.

Действия, чтобы избежать этих проблем

1. Проверьте изменения в разделе настройки конфигурации тестирования, чтобы проверить, что происходит при удалении G1 из CTL до даты выпуска обновления.
2. После использования раздела настройки конфигурации теста убедитесь, что все соответствующие сценарии работают, выполните действия, описанные в разделе "Настройка конфигурации рабочей среды" в рабочей конфигурации.

Примечание.

Сценарии с приложением как услуга, такие как SQL Azure или служба приложение Azure, которые цепочки с корневым сертификатом G1 завершаются сбоем после удаления корневого сертификата G1.

Настройка конфигурации теста

Перед выпуском обновления администраторы могут выполнить следующие действия, чтобы напрямую настроить реестр Windows в предварительном или промежуточном расположении последнего обновления сертификата. Вы также можете настроить параметры с помощью групповой политики. Сведения о настройке пользовательского административного шаблона для объекта групповой политики.

Примечание.

Предварительная версия выпуска мая, включающая удаление корневого сертификата G1, выполняется 11 мая 2022 г.

1. Откройте regedit и перейдите к следующему подразделу реестра:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Добавьте или измените следующие значения реестра:

   • Задайте для RootDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.
   • Задайте для SyncFromDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.

3. Удалите следующие значения реестра:

   • EncodedCtl
   • LastSyncTime

4. Удалите вложенный HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates ключ. На этом шаге удаляются все сохраненные корневые сертификаты.

   Примечание.

   При удалении всех сохраненных корневых сертификатов HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificatesможно убедиться, что все сохраненные корневые сертификаты удаляются. Эта операция заставляет Windows скачивать новые корневые сертификаты, если используются связанные цепи инфраструктуры открытых ключей (PKI), имеющие новые свойства (при изменении). Так как корневой сертификат G1 удаляется, этот корневой сертификат не будет скачан.

5. Проверьте все сценарии, связанные с корневым сертификатом G1, включая те, которые перечислены в потенциальных проблемах.

Примечание.

Ссылка на тестовый сайт никогда не изменяется. Однако изменения, которые выполняются на тестовом сайте, изменяются с месяца на месяц.

Настройка рабочей конфигурации

Следующие действия непосредственно настраивают реестр Windows для использования рабочей версии CTL, если используется URL-адрес тестирования из предыдущего раздела:

1. Откройте regedit и перейдите к следующему подразделу реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Добавьте или измените следующие значения реестра:

   • Задайте для RootDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.
   • Задайте для SyncFromDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.

3. Удалите следующие значения реестра:

   • EncodedCtl
   • LastSyncTime

4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Удалите подраздел реестра. На этом шаге удаляются все сохраненные корневые сертификаты.

Настройка корневого сертификата G2

Администраторы должны настроить корневой сертификат G2 в соответствии со следующими инструкциями перед удалением корневого сертификата G1 с помощью обновления корневого сертификата (OOB).

1. Следуйте инструкциям в разделе "Получение и проверка корневого сертификата FCPCA", чтобы скачать и установить корневой сертификат G2 на всех компьютерах с контроллерами домена и рабочей группы Windows.
2. Существует несколько способов развертывания корневого хранилища на корпоративных устройствах. См. раздел "Решения Майкрософт" в разделе "Распространение в операционные системы".

Примечание.

В организациях с перекрестными зависимостями для входа в систему смарт-карт или других сценариев на устройствах Windows, но не имеют доступа к Интернету, см. статью "Необходимо ли распространять сертификаты промежуточного ЦС?" и "Сертификаты, выданные федеральным общим центром сертификации ЦС G2" разделов "Распространение промежуточных сертификатов".

Многие федеральные предприятия должны иметь сертификаты ЦС казначейства США или сертификаты ЦС доверенных управляемых служб. Оба сертификата ЦС описаны в статье "Распространение сертификатов ЦС", как показано ниже.

Важно! Чтобы убедиться, что сертификаты учетных данных PIV, выданные Доверенным федеральным поставщиком служб SSP до 13 августа 2019 г., необходимо распространить дополнительный промежуточный сертификат ЦС в системы, которые не могут выполнять динамическую проверку пути. Дополнительные сведения см. на странице часто задаваемых вопросов.

Инструкции вручную, чтобы получить CTL

Для отключенных сред, в которых устройства Windows не могут получить доступ к Обновл. Windows или Интернету, выполните следующие действия, чтобы вручную получить CTL:

1. Скачайте CTL:
   1. Запустите certutil -generateSSTFromWU c:\roots\trustedcerts.sst.
   2. При выборе файла trustedcerts.sst необходимо открыть оснастку диспетчера сертификатов, чтобы отобразить полный CTL.
2. Скачайте список запрещенных сертификатов:
   1. Выполните certutil -syncwithwu c:\roots.
   2. Выполните certutil -verifyctl -v c:\roots\disallowedstl.cab c:\roots\disallowedcert.sst.
   3. При выборе disallowedcert.sst необходимо открыть оснастку диспетчера сертификатов, чтобы отобразить все корни в списке "Запрещено".
3. Чтобы оценить параметры, которые не отображаются в пользовательском интерфейсе, преобразуйте SST-файл в текстовый файл. Для этого выполните команду certutil -dump -gmt -v c:\roots\trustedcerts.sst > c:\roots\trustedcerts.txt.
4. Скачайте корневой сертификат G2 из получения и проверьте корневой сертификат FCPCA и добавьте его в личный CTL.

Устранение неполадок и анализ проблем с корневой цепочкой

Следующие данные помогут устранить неполадки, затронутые удалением корневого сертификата G1:

1. Включите ведение журнала CAPI2. См . сведения об устранении неполадок Windows PKI и диагностике CAPI2.

2. Создайте фильтры в Просмотр событий в следующих журналах событий, источниках событий и идентификаторах событий.

   В разделе "Журналы приложений и служб"\Microsoft\Windows\CAPI2\Операционный журнал, использующий CAPI2 в качестве источника:

   • Идентификатор события 11. Это событие показывает сбои при цепочке.
   • Идентификатор события 30. Это событие показывает сбои цепочки политик, такие как сбои NTAuth и проверка политики SSL.
   • Идентификатор события 90. Это событие показывает все сертификаты, которые использовались для создания всех возможных цепочек сертификатов в системе.
   • Идентификатор события 40–43: в этой серии событий отображаются все сохраненные списки запросов и сертификаты событий, к которым обращаются пути AIA.
   • Идентификатор события 50–53: в этой серии событий отображаются все попытки доступа к crls из сети. Событие связано со следующим сообщением об ошибке:

     Цепочка сертификатов обработана, но завершена в корневом сертификате, который не является доверенным поставщиком доверия.

   В журнале событий системы, использующего Microsoft-Windows-Kerberos-Key-Distribution-Center в качестве источника:

   • Ошибка 19. Это событие означает, что предпринята попытка использовать вход смарт-карты, но KDC не может использовать протокол PKINIT, так как подходящий сертификат отсутствует.
   • Событие 21. Не удалось создать цепочку сертификатов для доверенного корневого центра.
   • Событие 29. Центр распространения ключей (KDC) не может найти подходящий сертификат, используемый для входа смарт-карты, или сертификат KDC не удалось проверить. Вход смарт-карты может не работать правильно, если эта проблема не устранена. Чтобы устранить эту проблему, проверьте существующий сертификат KDC с помощью Certutil.exe или регистрации для нового сертификата KDC.