Microsoft 根憑證計劃可在 Windows 作業系統內發佈受信任和不受信任的根憑證。 本文說明如何在 Windows 中管理憑證和信任清單,以及自動更新以維護安全性的優點。 如需 Windows 根憑證計畫參與者清單的詳細資訊,請參閱參與者清單 - Microsoft 受信任的根計畫。
Windows 作業系統和應用程式會使用受信任和不受信任的根憑證,作為確認公開金鑰基礎結構 (PKI) 階層和數位憑證是否值得信任的參照。 未受信任的根憑證是公認為有詐騙嫌疑的憑證。 受信任和不受信任的根憑證功能適用於所有環境,無論是連線還是中斷連線的環境。
受信任和未受信任的根憑證包含在憑證信任清單中 (CTL)。 當您想要發佈根憑證時,請使用 CTL。 Windows Server 具有每日自動更新功能,包括下載最新的 CTL。 受信任和不受信任的根憑證清單分別稱為「受信任的 CTL」和「不受信任的 CTL」。 如需詳細資訊,請參閱 宣告不可信賴的憑證和金鑰的自動更新程式。
伺服器和用戶端會存取 Windows Update 網站,使用本文所討論的每日自動更新機制 (CTL Updater) 更新 CTL。 您可以透過安裝適當的軟體更新來利用 CTL 更新程式功能。 請參閱設定受信任的根目錄和不允許的憑證一文,以取得本文中所討論支援作業系統上安裝軟體更新的指引。
自動憑證信任清單更新
根據預設,Windows 會透過稱為 CTL Updater 的自動機制,從網際網路下載 CTL。 CTL Updater 所使用的公用 URL 可供用戶端使用:
http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cabhttp://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
如有必要,也可以停用自動更新功能,但不建議這麼做。
或者,您也可以建立群組原則系統管理範本 (ADMX 原則),重新導向內部伺服器以進行更新。
儲存受信任和不受信任 CTL 的登錄位置如下所示:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtlHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl
CTL Updater 的優點
使用 CTL Updater 的自動更新功能具備多項優點:
用於儲存 CTL 的登錄設定 新設定能夠將上傳受信任或未受信任 CTL 的位置從 Windows Update 網站變更為組織中的共用位置。 請參閱已修改的登錄設定。
Synchronization options If the URL for the Windows Update site is moved to a local shared folder, the local shared folder must be synchronized with the Windows Update folder. 這個軟體更新會在 Certutil 工具中新增一組選項,您便能用來啟用同步處理。 For more information, see the Certutil -syncWithWU Windows command reference.
用來選取受信任根憑證的工具 這個軟體更新所引進的工具可供在企業環境中管理受信任的根憑證組合。 您可以檢視和選取受信任的根憑證組合、將其匯出到序列憑證存放區,然後使用群組原則加以發佈。 如需詳細資訊,請參閱 Certutil -generateSSTFromWU SSTFile Windows 命令參考。
Independent configurability The automatic update mechanism for trusted and untrusted certificates are independently configurable; you can use the automatic update mechanism to download only the untrusted CTLs and manage your own list of trusted CTLs. 如需詳細資訊,請參閱已修改的登錄設定。
請參閱設定受信任的根目錄和不允許的憑證,以取得本文中所討論支援作業系統上安裝軟體更新的指引。
如有必要,可以停用自動更新功能,但不建議這麼做。
Next steps
現在您已深入了解 Windows 中受信任的根目錄和不允許的憑證,以下是一些能協助您設定系統的文章。
certutil Windows command reference