Konfigurera betrodda rötter och icke tillåtna certifikat i Windows

Omdirigera Microsofts url för automatisk uppdatering till en fil eller webbserver som är värd för betrodda certifikatlistor (CTL), ej betrodda CTL:er eller en delmängd av de betrodda CTL-filerna i en frånkopplad miljö.

Mer information om hur Microsoft Root Certificate Program fungerar för att distribuera betrodda rotcertifikat automatiskt över Windows-operativsystem finns i Certifikat och förtroende.

Tips/Råd

Du behöver inte omdirigera Microsofts url för automatisk uppdatering för miljöer där datorer kan ansluta direkt till Windows Update-webbplatsen. Datorer som kan ansluta till Windows Update-webbplatsen kan ta emot uppdaterade CTL:er dagligen.

Förutsättningar

Innan du kan konfigurera den frånkopplade miljön så att den använder CTL-filer som finns på en fil eller webbserver måste du uppfylla följande krav.

Klientkrav:

• Minst en dator som kan ansluta till Internet för att ladda ned CTL:er från Microsoft. Datorn kräver HTTP-åtkomst (TCP-port 80) och namnmatchning (TCP och UDP-port 53) för att kunna kontakta ctldl.windowsupdate.com. Den här datorn kan vara en domänmedlem eller medlem i en arbetsgrupp. För närvarande kräver alla nedladdade filer cirka 1,5 MB utrymme.
• Klientdatorer måste vara anslutna till en Active Directory Domain Service-domän.
• Du måste vara medlem i den lokala gruppen Administratörer .

Serverkrav:

• En filserver eller webbserver som är värd för CTL-filerna.
• AD-grupppolicy eller MDM-lösning för att distribuera konfigurationsinställningar till din klient.
• Ett konto som är medlem i gruppen Domänadministratörer eller motsvarande behörigheter

Konfigurationsmetoder

En administratör kan konfigurera en fil eller webbserver för att ladda ned följande filer med hjälp av mekanismen för automatisk uppdatering:

• authrootstl.cab innehåller en ctl som inte kommer från Microsoft.

• disallowedcertstl.cab innehåller en CTL med ej betrodda certifikat.

• disallowedcert.sst innehåller ett serialiserat certifikatarkiv, inklusive ej betrodda certifikat.

• <thumbprint>.crt innehåller rotcertifikat som inte kommer från Microsoft.

Stegen för att utföra den här konfigurationen beskrivs i avsnittet Konfigurera en fil eller webbserver för att ladda ned CTL-filer i det här dokumentet.

Det finns flera metoder för att konfigurera din miljö att använda lokala CTL-filer eller en delmängd av betrodda CTL:er. Följande metoder är tillgängliga.

• Konfigurera domänmedlemsdatorer i Active Directory Domain Services (AD DS) för att använda mekanismen för automatisk uppdatering för betrodda och ej betrodda CTL:er, utan att ha åtkomst till Windows Update-webbplatsen. Den här konfigurationen beskrivs i avsnittet Omdirigering av microsofts automatiska uppdaterings-URL i det här dokumentet.

• Konfigurera AD DS-domänmedlemsdatorer för att självständigt välja att delta i automatiska uppdateringar av icke betrodda och betrodda CTL. Den oberoende opt-in-konfigurationen beskrivs i avsnittet Omdirigera Microsofts automatiska uppdaterings-URL för endast ej betrodda CTL:er i det här dokumentet.

• Granska uppsättningen med rotcertifikat i Windows Rotcertifikatprogram. Genom att undersöka rotcertifikatuppsättningen kan administratörer välja en delmängd av certifikat som ska distribueras med hjälp av ett grupprincipobjekt (GPO). Den här konfigurationen beskrivs i avsnittet Använd en delmängd av avsnittet betrodda CTL:er i det här dokumentet.

Viktigt!

• Inställningarna som beskrivs i det här dokumentet implementeras med hjälp av grupprincipobjekt. De här inställningarna tas inte bort automatiskt om GPO:t är olänkat eller tas bort från AD DS-domänen. När de här inställningarna implementeras kan de bara ändras med hjälp av ett GPO eller genom att ändra registret för de berörda datorerna.

• Begreppen som beskrivs i det här dokumentet är oberoende av Windows Server Update Services (WSUS).

Konfigurera en fil eller webbserver för att ladda ned CTL-filerna

För att underlätta distributionen av betrodda eller ej betrodda certifikat för en frånkopplad miljö måste du först konfigurera en fil eller webbserver för att ladda ned CTL-filerna från mekanismen för automatisk uppdatering.

Hämta CTL-filerna från Windows Update

Du kan hämta CTL-filerna från Windows Update-webbplatsen med hjälp certutil av kommandot med hjälp av följande steg:

1. Skapa en delad mapp på en fil eller webbserver som kan synkroniseras med hjälp av mekanismen för automatisk uppdatering och som du vill använda för att lagra CTL-filerna.

   Tips/Råd

   Innan du börjar kan du behöva justera behörigheterna för delade mappar och NTFS-mappbehörigheter för att tillåta lämplig kontoåtkomst, särskilt om du använder en schemalagd uppgift med ett tjänstkonto. Mer information om hur du justerar behörigheter finns i Hantera behörigheter för delade mappar.

2. Kör följande kommando från en upphöjd PowerShell-prompt:

   Certutil -syncWithWU \\<server>\<share>
   

   Ersätt det faktiska servernamnet för <server> och namnet på den delade mappen <share> , till exempel för en server med namnet Server1 med en delad mapp med namnet CTL, så kör du kommandot:

   Certutil -syncWithWU \\Server1\CTL
   

3. Ladda ned CTL-filerna på en server som datorer i en frånkopplad miljö kan komma åt via nätverket med hjälp av en FILsökväg (till exempel FILE://\\Server1\CTL) eller en HTTP-sökväg (till exempel http://Server1/CTL).

Anmärkning

• Om servern som synkroniserar CTL:erna inte är tillgänglig från datorerna i den frånkopplade miljön måste du ange en annan metod för att överföra informationen. Du kan till exempel tillåta att en av domänmedlemmarna ansluter till servern och sedan schemalägga en annan uppgift på domänmedlemsdatorn för att hämta informationen till en delad mapp på en intern webbserver. Om det absolut inte finns någon nätverksanslutning kan du behöva använda en manuell process för att överföra filerna, till exempel en flyttbar lagringsenhet.

• Om du planerar att använda en webbserver bör du skapa en ny virtuell katalog för CTL-filerna. Stegen för att skapa en virtuell katalog med hjälp av Internet Information Services (IIS) är nästan desamma för alla operativsystem som stöds som beskrivs i det här dokumentet. Mer information finns i Skapa en virtuell katalog (IIS7).

• Vissa system- och programmappar i Windows har särskilt skydd. Till exempel kräver inetpub-mappen särskilda åtkomstbehörigheter, vilket gör det svårt att skapa en delad mapp för användning med en schemalagd uppgift för att överföra filer. En administratör kan skapa en mappplats i roten på ett logiskt enhetssystem som ska användas för filöverföringar.

Omdirigera Url:en för automatisk uppdatering av Microsoft

Datorerna i nätverket kan vara konfigurerade i en frånkopplad miljö och kan därför inte använda mekanismen för automatisk uppdatering eller ladda ned CTL:er. Du kan implementera ett grupprincipobjekt i AD DS så att du kan konfigurera dessa datorer att hämta CTL-uppdateringarna från en alternativ plats.

Konfigurationen i det här avsnittet kräver att du redan har slutfört stegen i Konfigurera en fil eller webbserver för att ladda ned CTL-filerna.

För att konfigurera en anpassad administrativ mall för ett grupprincipobjekt

1. Skapa en ny administrativ mall på en domänkontrollant. Öppna en textfil i Anteckningar och ändra sedan filnamnstillägget till .adm. Innehållet i filen ska vara följande:

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
       POLICY !!RootDirURL
          EXPLAIN !!RootDirURL_help
          PART !!RootDirURL EDITTEXT
                VALUENAME "RootDirURL"
          END PART
       END POLICY
   END CATEGORY
   [strings]
   RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
   RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Använd ett beskrivande namn för att spara filen, till exempel RootDirURL.adm.

   • Kontrollera att filnamnstillägget är .adm och inte .txt.

   • Om du behöver aktivera visning av filnamnstillägg läser du Så här: Visa filnamnstillägg.

   • Om du sparar filen i %windir%\inf mappen är det enklare att hitta den i följande steg.

3. Öppna grupprinciphanteringens redigerare. Välj Start > Kör, skriv GPMC.msc och tryck sedan på RETUR.

   Varning

   Du kan länka ett nytt grupprincipobjekt till domänen eller till en organisationsenhet (OU). GPO-ändringarna som implementeras i det här dokumentet ändrar registerinställningarna för de berörda datorerna. Du kan inte ångra de här inställningarna genom att ta bort eller koppla bort gruppolicyobjektet. Inställningarna kan bara ångras genom att återställa dem i GPO-inställningarna eller genom att ändra registret med hjälp av en annan teknik.

4. Expandera forest-objektet , expandera objektet Domäner och expandera sedan den specifika domän som innehåller de datorkonton som du vill ändra. Om du har en specifik organisationsenhet som du vill ändra navigerar du till den platsen.

5. Högerklicka och välj sedan Skapa ett grupprincipobjekt i den här domänen och Länka det här för att skapa ett nytt grupprincipobjekt.

6. I navigeringsfönstret under Datorkonfiguration, expandera Principer.

7. Högerklicka på Administrativa mallar och välj sedan Lägg till/ta bort mallar.

8. I Lägg till/ta bort mallar väljer du Lägg till.

9. I dialogrutan Principmallar väljer du den .adm mall som du sparade tidigare. Välj Öppna och välj sedan Stäng.

10. I navigeringsfönstret expanderar du Administrativa mallar och expanderar sedan Klassiska administrativa mallar (ADM).

11. Välj Inställningar för Windows AutoUpdate, och dubbelklicka i informationsfönstret på URL-adress som ska användas i stället för standardadressen ctldl.windowsupdate.com.

12. Välj Aktiverad. I avsnittet Alternativ anger du URL:en till filservern eller webbservern som innehåller CTL-filerna. Till exempel http://server1/CTL eller file://\\server1\CTL.

13. Välj OK.

14. Stäng redigeraren för grupprinciphantering.

Principen gäller omedelbart, men klientdatorerna måste startas om för att ta emot de nya inställningarna, eller så kan du skriva gpupdate /force från en upphöjd kommandotolk eller från Windows PowerShell.

Viktigt!

Betrodda och ej betrodda CTL:er kan uppdateras dagligen. Om du vill hålla filerna synkroniserade använder du en schemalagd uppgift eller ett skript. Kontrollera att skriptet kan hantera fel vid uppdatering av den delade mappen eller webbkatalogen. Mer information om hur du skapar en schemalagd aktivitet med Hjälp av PowerShell finns i New-ScheduledTask. Om du planerar att skriva ett skript för att göra dagliga uppdateringar, se kommandoreferensen för certutil i Windows.

Omdirigera Microsofts automatiska uppdaterings-URL endast för ej betrodda CTL:er

Vissa organisationer kanske bara vill att de ej betrodda CTL:erna (inte de betrodda CTL:erna) ska uppdateras automatiskt. Om du bara vill uppdatera de ej betrodda CTL:erna automatiskt skapar du två .adm mallar som ska läggas till i grupprincipen.

I en frånkopplad miljö kan du använda följande procedur med den föregående proceduren (omdirigera Microsofts automatiska uppdaterings-URL för betrodda och icke-betrodda CTL:er). Den här proceduren förklarar hur du selektivt inaktiverar den automatiska uppdateringen av betrodda CTL:er.

Du kan också använda den här proceduren i en ansluten miljö isolerat för att selektivt inaktivera automatisk uppdatering av betrodda CTL:er.

Så här omdirigerar du endast ej betrodda CTL:er selektivt

1. På en domänkontrollant skapar du den första nya administrativa mallen genom att börja med en textfil och sedan ändra filnamnstillägget till .adm. Innehållet i filen ska vara följande:

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!DisableRootAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "DisableRootAutoUpdate"
          VALUEON NUMERIC 0
             VALUEOFF NUMERIC 1
   
       END POLICY
   END CATEGORY
   [strings]
   DisableRootAutoUpdate="Auto Root Update"
   Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Använd ett beskrivande namn för att spara filen, till exempel DisableAllowedCTLUpdate.adm.

3. Skapa en andra ny administrativ mall. Innehållet i filen ska vara följande:

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!EnableDisallowedCertAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "EnableDisallowedCertAutoUpdate"
          VALUEON NUMERIC 1
             VALUEOFF NUMERIC 0
   
       END POLICY
   END CATEGORY
   [strings]
   EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
   Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

4. Använd ett beskrivande filnamn för att spara filen, till exempel EnableUntrustedCTLUpdate.adm.

   • Kontrollera att filnamnstilläggen för dessa filer är .adm och inte .txt.

   • Om du sparar filen i %windir%\inf mappen är det enklare att hitta den i följande steg.

5. Öppna grupprinciphanteringens redigerare.

6. Expandera forest-objektet , expandera objektet Domäner och expandera sedan den specifika domän som innehåller de datorkonton som du vill ändra. Om du har en specifik organisationsenhet som du vill ändra navigerar du till den platsen.

7. I navigeringsfönstret under Datorkonfiguration, expandera Principer.

8. Högerklicka på Administrativa mallar och välj sedan Lägg till/ta bort mallar.

9. I Lägg till/ta bort mallar väljer du Lägg till.

10. I dialogrutan Principmallar väljer du den .adm mall som du sparade tidigare. Välj Öppna och välj sedan Stäng.

11. I navigeringsfönstret expanderar du Administrativa mallar och expanderar sedan Klassiska administrativa mallar (ADM).

12. Välj Inställningar för Automatisk uppdatering av Windows och dubbelklicka sedan på Automatisk rotuppdatering i informationsfönstret.

13. Välj Inaktiverad och välj sedan OK.

14. I informationsfönstret dubbelklickar du på Ej betrodd ctl automatisk uppdatering och väljer sedan Aktiverad och OK.

Principen gäller omedelbart, men klientdatorerna måste startas om för att ta emot de nya inställningarna, eller så kan du skriva gpupdate /force från en upphöjd kommandotolk eller från Windows PowerShell.

Viktigt!

Betrodda och ej betrodda CTL:er kan uppdateras dagligen. Om du vill behålla filerna synkroniserade i den delade mappen eller den virtuella katalogen kan du använda en schemalagd aktivitet.

Använda en delmängd av betrodda CTL:er

I det här avsnittet beskrivs hur du kan skapa, granska och filtrera de betrodda CTL:er som du vill att datorer i din organisation ska använda. Du måste implementera grupprincipobjekten som beskrivs i föregående procedurer för att kunna använda den här lösningen. Den här lösningen är tillgänglig för frånkopplade och anslutna miljöer.

Det finns två procedurer för att anpassa listan över betrodda CTL:er.

1. Skapa en delmängd av betrodda certifikat

2. Distribuera de betrodda certifikaten med hjälp av grupprincip

Skapa en delmängd av betrodda certifikat

Så här genererar du SST-filer med hjälp av den automatiska Windows-uppdateringsmekanismen från Windows. Mer information om hur du genererar SST-filer finns i referensen för Certutil Windows-kommandon. Följ dessa steg för att skapa en delmängd av betrodda certifikat:

1. Från en dator som är ansluten till Internet öppnar du Windows PowerShell som administratör eller öppnar en upphöjd kommandotolk och skriver följande kommando:

   Certutil -generateSSTFromWU WURoots.sst
   

2. Kör följande kommando i Utforskaren för att öppna WURoots.sst:

   start explorer.exe wuroots.sst
   

   Tips/Råd

   Du kan också använda Internet Explorer för att navigera till filen och dubbelklicka på den för att öppna den. Beroende på var du lagrade filen kanske du också kan öppna den genom att wuroots.sstskriva .

3. Öppna Certifikathanteraren.

4. Expandera filsökvägen under Certifikat – Aktuell användare tills du ser certifikat och välj sedan Certifikat.

5. I informationsfönstret kan du se de betrodda certifikaten. Håll ned CTRL-tangenten och välj vart och ett av de certifikat som du vill tillåta. När du har valt de certifikat som du vill tillåta högerklickar du på ett av de valda certifikaten, väljer Alla aktiviteter och väljer sedan Exportera.

   • Du måste välja minst två certifikat för att exportera .sst filtypen. Om du bara väljer ett certifikat .sst är filtypen inte tillgänglig och .cer filtypen är markerad i stället.

6. I guiden Certifikatexport väljer du Nästa.

7. På sidan Exportera filformat väljer du Microsoft Serialized Certificate Store (. SST)och välj sedan Nästa.

8. På sidan Fil att exportera anger du en filsökväg och ett lämpligt namn för filen, till exempel C:\AllowedCerts.sstoch väljer sedan Nästa.

9. Välj Slutför. När du får ett meddelande om att exporten lyckades väljer du OK.

10. .sst Kopiera filen som du skapade till en domänkontrollant.

Så här distribuerar du listan över betrodda certifikat med hjälp av grupprincip

1. Öppna Gruppolicyhanteraren på domänkontrollanten som har den anpassade .sst filen.

2. Expandera skogen, domänerna och det specifika domänobjekt som du vill ändra. Högerklicka på GPO för standarddomänprincip och välj sedan Redigera.

3. I navigeringsfönstret under Datorkonfiguration expanderar du Principer, expanderar Windows-inställningar, expanderar Säkerhetsinställningar och expanderar sedan Principer för offentlig nyckel.

4. Högerklicka på Betrodda rotcertifikatutfärdare och välj sedan Importera.

5. I guiden Importera certifikat väljer du Nästa.

6. Ange sökvägen och filnamnet för filen som du kopierade till domänkontrollanten, eller använd knappen Bläddra för att hitta filen. Välj Nästa.

7. Bekräfta att du vill placera dessa certifikat i certifikatarkivet Betrodda rotcertifikatutfärdare genom att välja Nästa. välj Slutför. När du får ett meddelande om att certifikaten har importerats väljer du OK.

8. Stäng redigeraren för grupprinciphantering.

Principen gäller omedelbart, men klientdatorerna måste startas om för att ta emot de nya inställningarna, eller så kan du skriva gpupdate /force från en upphöjd kommandotolk eller från Windows PowerShell.

Registerinställningar har ändrats

Inställningarna som beskrivs i det här dokumentet konfigurerar följande registernycklar på klientdatorerna. De här inställningarna tas inte bort automatiskt om grupprincipobjektet är olänkat eller tas bort från domänen. De här inställningarna måste konfigureras om om du vill ändra dem.

• Aktivera eller inaktivera automatisk Windows-uppdatering av den betrodda ctl:en:

  • Nyckel: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
  • Typ: REG_DWORD
  • Namn: DisableRootAutoUpdate
  • Data: 0 för att aktivera eller 1 inaktivera.
  • Standard: Det finns ingen nyckel som standard. Utan en nyckel är standardinställningen aktiverad.

• Aktivera eller inaktivera automatisk Windows-uppdatering av den ej betrodda CTL:en:

  • Nyckel: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
  • Typ: REG_DWORD
  • Namn: EnableDisallowedCertAutoUpdate
  • Data: 1 för att aktivera eller 0 inaktivera.
  • Standard: Det finns ingen nyckel som standard. Utan en nyckel är standardinställningen aktiverad.

• Ange platsen för den delade CTL-filen (HTTP eller FILsökvägen):

  • Nyckel: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
  • Typ: REG_SZ
  • Namn: RootDirUrl
  • Data: Ange en giltig HTTP- eller fil-URI.
  • Standard: Det finns ingen nyckel som standard. Utan en nyckel som finns används Windows Update som standardbeteende.

Verifiera betrodda och ej betrodda CTL:er

Det kan vara nödvändigt av olika skäl att verifiera alla betrodda och ej betrodda CTL:er från en klientdator. Följande Certutil-alternativ kan användas för att verifiera alla betrodda och ej betrodda CTL:er från en klientdator.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Kontrollera senaste synkroniseringstid

Om du vill kontrollera den senaste synkroniseringstiden på den lokala datorn för betrodda eller ej betrodda CTL:er kör du följande Certutil-kommando:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"

Relaterat innehåll

• Certifikat och förtroende

• Lista över deltagare – Microsoft Trusted Root Program

• certutil Windows-kommandoreferens

• Kontroll av Uppdatera rotcertifikat-funktionen för att förhindra informationsflöde till och från internet