WINDOWS 7
 Computer >> コンピューター >  >> システム >> WINDOWS 7

Windowsでの信頼されたルート証明書のリストの更新

すべてのWindowsバージョンには、MicrosoftWebサイトからルート証明書を自動的に更新する機能が組み込まれています。 Microsoftの信頼されたルート証明書プログラムの一部としてのMSFT 、オンラインリポジトリ内のクライアントとWindowsデバイスの信頼できる証明書のリストを維持および公開します。証明書チェーン内の検証済み証明書がこのプログラムに参加しているルートCAを参照している場合、システムはこのルート証明書をWindows Updateサーバーから自動的にダウンロードし、信頼できるサーバーに追加します。

Windowsは、信頼されたルート証明書リスト(CTL)を週に1回更新します。 WindowsがWindowsUpdateに直接アクセスできない場合、システムはルート証明書を更新できません。そのため、ユーザーはWebサイトの閲覧(SSL証明書が信頼できないCAによって署名されています。「ChromeSSLエラー:このサイトは安全な接続を提供できません」に関する記事を参照)、または署名されたスクリプトのインストール/実行で問題が発生する可能性があります。およびアプリ。

この記事では、インターネットに直接アクセスできない、切断された(分離された)ネットワークまたはコンピューター/サーバーでTrustedRootCAのルート証明書のリストを手動で更新する方法を説明します。

内容:

  • Windows10および11での信頼されたルート証明書の管理
  • Windowsでルート証明書の自動更新を無効/有効にする方法
  • Certutil:WindowsUpdateから信頼されたルート証明書をダウンロードする
  • Windowsの証明書信頼リスト(STL)
  • 分離された環境でGPOを介して信頼されたルート証明書を更新する
  • Windows 7で信頼されたルート証明書を更新するにはどうすればよいですか?
  • Rootsupd.exeツールを使用したWindowsXPでのルート証明書の更新

注。 コンピューターがプロキシサーバーを介してインターネットにアクセスする場合は、Microsoft Webサイトへの直接アクセス(バイパス)を開いてルート証明書を自動的に更新することをお勧めします。ただし、企業の制限により、常に可能または適用できるとは限りません。

Windows10および11での信頼されたルート証明書の管理

Windowsコンピューターで信頼されたルート証明書のリストを表示するにはどうすればよいですか?

  1. Windows 11/10 / 8.1/7またはWindowsServer2022/2019/2016を実行しているコンピューターのルート証明書ストアを開くには、 mmc.exeを実行します。 コンソール;
  2. ファイルを選択します ->スナップインの追加と削除証明書を選択します (certmgr)スナップインのリスト->追加;
  3. ローカルのコンピューターアカウントの証明書を管理することを選択します; Windowsでの信頼されたルート証明書のリストの更新
  4. 次へ->OK->OK;
  5. 証明書を拡張します ノード->信頼できる ルート 認定 当局 ストア。 このセクションには、コンピューター上の信頼されたルート証明書のリストが含まれています。

mmcコンソールでは、任意の証明書に関する情報を表示したり、信頼できる証明書から証明書を削除したりできます。

PowerShellを使用して、信頼されたルート証明書とその有効期限のリストを取得することもできます。

Get-Childitem cert:\LocalMachine\root |format-list

期限切れの証明書、または60日以内に期限切れになる証明書を一覧表示できます。

Get-ChildItem cert:\LocalMachine\root|Where {$_.NotAfter -lt  (Get-Date).AddDays(60)}|select NotAfter, Subject

Windowsでの信頼されたルート証明書のリストの更新

セキュリティ上の理由から、 Sigcheck を使用して、疑わしい証明書や失効した証明書がないか、コンピューターの証明書トラストストアを定期的に確認することをお勧めします。 道具。このツールを使用すると、コンピューターにインストールされている証明書のリストをMicrosoft Webサイトのルート証明書のリストと比較できます(最新の証明書authrootstl.cabを含むオフラインファイルをダウンロードできます)。

エクスポート/インポートオプションを使用して、Windowsコンピューター間でルート証明書ファイルを手動で転送できます。

  1. 証明書をクリックして[すべてのタスク]->[エクスポート]を選択すると、任意の証明書を.CERファイルにエクスポートできます。 Windowsでの信頼されたルート証明書のリストの更新
  2. [すべてのタスク]->[インポート]オプションを使用して、この証明書を別のコンピューターにインポートできます。 Windowsでの信頼されたルート証明書のリストの更新

Windowsでルート証明書の自動更新を無効/有効にする方法

前述したように、Windowsはルート証明書を自動的に更新します。 GPOまたはレジストリを使用して、Windowsで証明書の更新を有効または無効にできます。

ローカルグループポリシーエディター(gpedit.msc)を開き、[コンピューターの構成]->[管理用テンプレート]->[システム]->[インターネット通信の管理]->[インターネット通信]に移動します。

自動ルート証明書の更新をオフにする このセクションのオプションを使用すると、WindowsUpdateサイトを介したルート証明書の自動更新を無効にできます。デフォルトでは、このポリシーは構成されておらず、Windowsは常にルート証明書を自動的に更新しようとします。

Windowsでの信頼されたルート証明書のリストの更新

このGPOオプションが構成されておらず、ルート証明書が自動的に更新されない場合は、レジストリでこの設定が手動で有効になっているかどうかを確認してください。 PowerShellを使用してレジストリパラメータの値を確認します:

Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate

Windowsでの信頼されたルート証明書のリストの更新

コマンドがDisableRootAutoUpdateの値を返す場合 レジストリパラメータは1 、その後、ルート証明書の更新はコンピュータで無効になります。有効にするには、パラメータ値を0に変更します。

Certutil:WindowsUpdateから信頼されたルート証明書をダウンロードする

Certutil.exe CLIツールを使用して証明書を管理できます(Windows10で導入されたWindows7の場合は、個別の更新プログラムとして利用できます)。これを使用して、Windows Updateからルート証明書の最新リストをダウンロードし、SSTファイルに保存できます。

Windows 10または11を実行し、インターネットに直接アクセスできるコンピューターでSSTファイルを生成するには、管理者特権のコマンドプロンプトを開き、次のコマンドを実行します。

certutil.exe -generateSSTFromWU C:\PS\roots.sst 

Updated SST file.
CertUtil: -generateSSTFromWU command completed successfully.

Windowsでの信頼されたルート証明書のリストの更新

その結果、ルート証明書の最新のリストを含むSSTファイルがターゲットディレクトリに表示されます。ダブルクリックして開きます。このファイルは、信頼されたルート証明書を含むコンテナです。

Windowsでの信頼されたルート証明書のリストの更新

ご覧のとおり、使い慣れた証明書管理スナップインが開き、そこから取得した任意の証明書をエクスポートできます。私の場合、証明書のリストには358個のアイテムがあります。明らかに、証明書をエクスポートして1つずつインストールすることは合理的ではありません。

ヒントcertutil -syncWithWU コマンドを使用して、個々の証明書ファイルを生成できます。この方法で取得した証明書は、GPOを使用してWindowsデバイスに展開できます。

PowerShellスクリプトを使用して、SSTファイルからすべての証明書をインストールし、それらをコンピューター上の信頼されたルート証明書のリストに追加できます。

$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

certmgr.mscを実行します スナップインして、すべての証明書が信頼されたルート証明機関に追加されていることを確認します 。 Windows 11での私の例では、ルート証明書の数が34から438に増えました。

Windowsでの信頼されたルート証明書のリストの更新

インストール後のWindowsのクリーンコピーには、ルートストアに少数の証明書しか含まれていません。コンピューターがインターネットに接続されている場合、デバイスが信頼チェーンにMicrosoft CTLからのフィンガープリントを持つHTTPSサイトまたはSSL証明書にアクセスすると、残りのルート証明書が自動的に(オンデマンドで)インストールされます。したがって、原則として、Microsoftが信頼するすべての証明書をローカルの証明書ストアにすぐに追加する必要はありません。

Windowsの証明書信頼リスト(STL)

証明書の信頼リスト CTL )は、信頼できる当事者(この場合はMicrosoft)によって署名されたデータ(証明書ハッシュなど)のリストです。 Windowsクライアントは、Windows Updateから定期的にこのCTLをダウンロードします。このCTLには、すべての信頼されたルートCAのハッシュが格納されます。このCTLには証明書自体は含まれず、ハッシュと属性(たとえば、フレンドリ名)のみが含まれることを理解する必要があります。 Windowsデバイスは、証明書信頼リストから信頼できる証明書をオンデマンドでダウンロードできます。

CTLファイルを手動でダウンロードしてインストールできます。これを行うには、ファイルhttps://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab(月に2回更新)をダウンロードします。アーカイバ(またはWindowsエクスプローラー)を使用して、 authrootstl.cabのコンテンツを解凍します。 記録。単一のauthroot.stlが含まれています ファイル。

Windowsでの信頼されたルート証明書のリストの更新

Authroot.stlファイルは、証明書信頼リスト形式の信頼できる証明書拇印のリストを含むコンテナーです。

Windowsでの信頼されたルート証明書のリストの更新

certutilコマンドを使用して、このCTLファイルを信頼されたルート認証局にインストールできます。

certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"

Windowsでの信頼されたルート証明書のリストの更新 

root "Trusted Root Certification Authorities"
CTL 0 added to store.
CertUtil: -addstore command completed successfully.

証明書管理コンソール(信頼ルート)を使用して証明書をインポートすることもできます。 認証局 ->証明書 ->すべてのタスク ->インポート )。証明書の拇印を使用してSTLファイルへのパスを指定します。

Windowsでの信頼されたルート証明書のリストの更新

コマンドを実行すると、新しいセクションの証明書信頼リストが信頼されたルート証明機関に表示されます。 証明書マネージャーコンソールのコンテナー(certmgr.msc

Windowsでの信頼されたルート証明書のリストの更新

同様に、ルート証明書プログラムから削除された失効した(許可されていない)証明書のリストをダウンロードしてインストールできます。これを行うには、 disallowedcertstl.cabをダウンロードします ファイル(https://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab)を抽出し、次のコマンドを使用してUntrustedCertificatesストアに追加します。

certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"

分離された環境でGPOを介して信頼されたルート証明書を更新する

インターネットで分離されたActiveDirectoryドメインのルート証明書を定期的に更新するタスクがある場合は、グループポリシーを使用して、ドメインに参加しているコンピューターのローカル証明書ストアを更新するための少し複雑なスキームがあります。切断されたWindowsネットワーク内のユーザーコンピューターでルート証明書の更新を構成するには、いくつかの方法があります。

最初の方法 ルート証明書を含むファイルを定期的に手動でダウンロードして、分離されたネットワークにコピーすることを前提としています。次のように、現在のMicrosoftルート証明書を含むファイルをダウンロードできます。

certutil.exe –generateSSTFromWU roots.sst

次に、このファイルのルート証明書を、GPOのSCCMまたはPowerShellスタートアップスクリプトを介して展開できます。

$sstStore = (Get-ChildItem -Path \\fr-dc01\SYSVOL\woshub.com\rootcert\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

2番目の方法 次のコマンドを使用して、実際のMicrosoftルート証明書をダウンロードします。

Certutil -syncWithWU -f \\fr-dc01\SYSVOL\woshub.com\rootcert\

指定された共有ネットワークフォルダに、いくつかのルート証明書ファイル(CRTファイル形式)が表示されます(ファイルauthrootstl.cab、disallowedcertstl.cab、disallowedcert.sst、thumbprint.crtを含む)。

Windowsでの信頼されたルート証明書のリストの更新

次に、グループポリシーの基本設定を使用して、レジストリパラメータ RootDirURLの値を変更します。 HKLM \ Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdateの下 。このパラメーターは、Windowsコンピューターが新しいルート証明書を受け取る共有ネットワークフォルダーを指している必要があります。ドメインGPMC.mscコンソールを実行し、新しいGPOを作成し、ポリシーの編集モードに切り替えて、[コンピューターの構成->設定->Windowsの設定->レジストリ]セクションを展開します。 。次の設定で新しいレジストリプロパティを作成します。

  • アクション :更新
  • ハイブ :HKLM
  • キーパス :Software \ Microsoft \ SystemCertificates \ AuthRoot \ AutoUpdate
  • 値の名前 :RootDirURL
  • タイプ :REG_SZ
  • 値データ :file:// \\ fr-dc01 \ SYSVOL \ woshub.com \ rootcert \

Windowsでの信頼されたルート証明書のリストの更新

このポリシーをコンピューターのOUにリンクし、クライアントのGPO設定を更新した後、証明書ストアで新しいルート証明書を確認する必要があります。

GPOパラメータ自動ルート証明書更新をオフにする [コンピューターの構成]->[管理用テンプレート]->[システム]->[インターネット通信の管理]->[インターネット通信の設定]を無効にするか、構成しないでください。

Windows 7で信頼されたルート証明書を更新するにはどうすればよいですか?

Windows 7は現在サポート終了フェーズにありますが、多くのユーザーや企業が引き続きWindows7を使用しています。

クリーンなWindows7イメージをインストールした後、新しい証明書で署名されているため、多くの最新のプログラムやツールが動作しない場合があります。特に、ルート証明書を更新せずに.NetFramework4.8またはMicrosoftVisualStudio(vs_Community.exe)をWindows 7SP1x64にインストールできないという苦情がありました。

The installer manifest failed signature validation.

または

NET Framework has not been installed because a certificate chain could not be built to a trusted root authority.

Windowsでの信頼されたルート証明書のリストの更新

Windows 7でルート証明書を更新するには、最初にMSU更新 KB2813430をダウンロードしてインストールする必要があります。 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in -windows-0c51c702-fdcc-f6be-7089-4585fad729d6)

その後、certutilを使用して、ルート証明書(現在または別のコンピューター上)を含むSSTファイルを生成できます。

certutil.exe -generateSSTFromWU c:\ps\roots.sst

これで、証明書を信頼できる証明書にインポートできます:

MMCを実行します ->スナップインを追加->証明書->コンピューターアカウント>ローカルコンピューター。 [信頼されたルート証明機関]を右クリックし、[すべてのタスク]-> [インポート]をクリックして、SSTファイルを見つけます(ファイルタイプで[ Microsoftシリアル化証明書ストア— * .sst ]を選択します)。 )->開く->すべての証明書を次のストアに配置します->信頼されたルート証明機関。

Rootsupd.exeツールを使用したWindowsXPでのルート証明書の更新

Windows XPでは、 rootsupd.exe ユーティリティは、コンピュータのルート証明書を更新するために使用されました。その中のルート証明書と失効した証明書のリストは定期的に更新されました。このツールは、個別のアップデートとして配布されました KB931125 (ルート証明書の更新)。今すぐ使用できるかどうか見てみましょう。

  1. rootsupd.exeをダウンロードします 次のリンクを使用するユーティリティhttps://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe 。現時点(2021年1月)ではリンクが機能しないため、Microsoftはリンクを公開しないことを決定しました。今日、カスペルスキーのWebサイトからrootsupd.exeをダウンロードできます— https://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip;
  2. Windowsルート証明書をインストールするには、 rootsupd.exeを実行するだけです。 ファイル。ただし、その内容をより慎重に検討していきます。次のコマンドを使用して、実行可能ファイルから証明書を抽出します。rootsupd.exe /c /t: C:\PS\rootsupd Windowsでの信頼されたルート証明書のリストの更新
  3. 証明書は、authroots.sst、delroot.sstなどのSSTファイルに保存されます。証明書を削除またはインストールするには、次のコマンドを使用できます。
    updroots.exe authroots.sst
    updroots.exe -d delroots.sst

ただし ご覧のとおり、これらの証明書ファイルは2013年4月4日に作成されました(Windows XPの公式サポートが終了するほぼ1年前)。したがって、それ以降、ツールは更新されておらず、最新の証明書をインストールするために使用することはできません。

ただし、Windows 10/11のcerutilツールを使用してroot.sstをダウンロードし、そのファイルをWindows XPにコピーして、updroots.exeを使用して証明書をインストールできます。

updroots.exe c:\temp\roots.sst

updroots.exeツールは、デバイス上のMicrosoftルートCAを破壊する可能性があるため、Windows101803+およびWindows11の最新ビルドでの使用は推奨されないという情報があります。

この記事では、インターネットから分離された(切断された環境)Windowsネットワークコンピューターで信頼されたルート証明書を更新するいくつかの方法について説明しました。


  1. Windows 10 のシャットダウン コマンドの完全なリスト

    PC のシャットダウンを支援するために、さまざまな方法で PC をシャットダウンするのに役立つ Windows 10 のシャットダウン コマンドがいくつかあります。これらの Windows シャットダウン コマンドは、マシンのコマンド プロンプト ウィンドウで使用されます。これらの各コマンドには、PC の電源をオフにする前に実行する独自のタスクがあります。 次のガイドでは、Windows 10 PC をオフにするために使用できるすべてのコマンドについて説明します。始めましょう: パート 1. Windows 10 でのシャットダウン コマンドの構文 パート 2. Windows 10 での

  2. Windows で実行中のプロセスのリストを保存する方法

    タスク マネージャーでは、現在 Windows PC で実行されているすべてのタスクを確認できます。ただし、タスク マネージャーでは、後で使用するため、またはトラブルシューティングの一部として進行中のプロセスのリストを保存することはできません。幸いなことに、現在の Windows プロセスのリストを取得する簡単な方法が他にもあります。 PC 上のプロセスのリストをエクスポートする主な理由は、トラブルシューティングです。タスク マネージャーを使用すると、プロセスをリアルタイムで観察できますが、プロセスのリストを第三者に提供する必要がある場合があります。わかりやすい形式でデータを保存する必要があ