Ручное обновление корневых сертификатов на Windows

Актуальные системы семейства Windows, подключенные к Интернету, могут автоматически обновлять корневые сертификаты. В противном случае, обновление необходимо выполнять вручную. Если это не делать, мы можем столкнуться с рядом проблем:

• Не открываются или выдают предупреждение безопасности некоторые (или все) сайты, работающие по https.
• Некорректная работа отдельных приложений (например, антивирусных систем).
• Ошибки при подключении по удаленному рабочему столу.

Это пример ошибок, который не претендует на свою полному. Чаще всего, проблемы встречаются на системах, снятых с обслуживание компанией Microsoft (Windows XP, 7, а также Server 2003, 2008).

Обновление сертификатов

Обновление доверенных корневых сертификатов выполняется во время обновления операционной системы. Если последнее включено, то нашего участия не требуется, иначе, можно установить обновление вручную. Пример такого пакета — KB931125.

Однако, если операционная система устарела, разработчик прекращает выпуск обновлений, и мы не можем воспользоваться средствами обновления системы. В таком случае, необходимо сделать выгрузку корневых сертификатов на актуальной системе и перенести их на устаревший.

Получение актуальных сертификатов

Для начала, выгрузим сертификаты на компьютере с актуальной версией Windows (10) и подключением к сети Интернет.

Создадим каталог, в который будет выгружен файл с корневыми сертификатами, например, C:\CA (папка CA на диске C).

Открываем командную строку от администратора и вводим команду:

certutil.exe -generateSSTFromWU C:\CA\roots.sst

* где C:\CA — каталог, который мы создали; roots.sst — файл, в который будут выгружены сертификаты.

В папке C:\CA мы должны увидеть файл roots.sst.

Установка/обновление корневых сертификатов

Полученный на предыдущем этапе файл переносим на компьютер, где необходимо обновить доверенные корневые сертификаты, например, также в папку C:\CA. Скачиваем утилиту rootsupd и распаковываем ее в этот же каталог.

Открываем командную строку от администратора и вводим команду:

C:\CA\rootsupd.exe /c /t:C:\CA

* где C:\CA — папка, в которую мы перенесли корневые сертификаты.

В появившемся окне Roots Update:

. выбираем No, чтобы не переписывать наш файл roots.sst.

В папке C:\CA должны появится новые файлы, в том числе, утилита updroots. Вводим теперь команду:

Изменение даты окончания срока действия сертификатов, выдав их с помощью сертификатов

В этой статье описывается изменение срока действия сертификата, выданного ЦС.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 254632

Аннотация

По умолчанию срок действия сертификата, выданного автономным ЦС для сертификации, составляет один год. Через один год срок действия сертификата истекает, и он не является доверенным для использования. Могут возникнуть ситуации, когда необходимо переопредить дату окончания срока действия по умолчанию для сертификатов, выдаванных промежуточным или выдавливал ЦС.

Срок действия, определенный в реестре, влияет на все сертификаты, выданные автономными ЦС и корпоративными ЦС. Для корпоративных ЦС параметр реестра по умолчанию составляет два года. Для автономных ЦС параметр реестра по умолчанию составляет один год. Срок действия сертификатов, выданных автономными ЦС, определяется записью реестра, описанной далее в этой статье. Это значение применяется ко всем сертификатам, выданным ЦС.

Для сертификатов, выдавлимые корпоративными ЦС, срок действия определяется в шаблоне, используемом для создания сертификата. Windows 2000 и Windows Server 2003 Standard Edition не поддерживают изменение этих шаблонов. Windows Server 2003 Enterprise Edition поддерживает шаблоны сертификатов версии 2, которые можно изменить. Срок действия, определенный в шаблоне, применяется ко всем сертификатам, выданным любым корпоративным ЦС в лесу Active Directory. Сертификат, выданный ЦС, действителен как минимум в течение следующих периодов времени:

Срок действия реестра, отмеченный ранее в этой статье.

Это относится к автономным ЦС и сертификатам подчиненных ЦС, выданным корпоративным ЦС.

Срок действия шаблона.

Это относится к корпоративному ЦС. Шаблоны, поддерживаемые Windows 2000 и Windows Server 2003 Standard Edition, нельзя изменить. Шаблоны, поддерживаемые Windows Server Enterprise Edition (шаблоны версии 2), поддерживают изменение.

Для корпоративного ЦС срок действия выданного сертификата устанавливается как минимум из следующих 3:

• Срок действия реестра ЦС (например: ValidityPeriod == Years, ValidityPeriodUnits == 1)
• Срок действия шаблона
• Оставшийся срок действия сертификата подписи ЦС
• Если бит EDITF_ATTRIBUTEENDDATE включен в значении реестра EditFlags модуля политики, срок действия, указанный с помощью атрибутов запроса (ExpirationDate:Date или ValidityPeriod:Years\nValidityPeriodUnits:1)

• Синтаксис ExpirationDate:Date не поддерживался до Windows Server 2008.
• Для отдельного ЦС шаблоны не обрабатываются. Поэтому срок действия шаблона не применяется.

Дата окончания срока действия сертификата ЦС

ЦС не может выдавать сертификат с более длительным сроком действия, чем его собственный сертификат ЦС.

Имя атрибута запроса состоит из пар строки значений, которые сопровождают запрос и указывают срок действия. По умолчанию этот параметр включен параметром реестра только для автономных ЦС.

Изменение даты окончания срока действия сертификатов, выдаванных ЦС

Чтобы изменить параметры срока действия для ЦС, выполните следующие действия.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой теме.

Нажмите кнопку Пуск и выберите пункт Выполнить.

В поле «Открыть» введите regedit и нажмите кнопку «ОК».

Найдите и щелкните следующий ключ реестра:

В правой области дважды щелкните ValidityPeriod.

В поле данных «Значение» введите одно из следующих значений и нажмите кнопку «ОК»:

В правой области дважды щелкните validityPeriodUnits.

В поле данных «Значение» введите нужное числовые значения и нажмите кнопку «ОК». Например, введите 2.

Остановите и перезапустите службу служб сертификатов. Для этого:

Нажмите кнопку Пуск и затем выберите команду Выполнить.

В поле Открыть введите cmd и нажмите кнопку ОК.

В командной строке введите следующие строки. Нажмите ввод после каждой строки.

Введите выход, чтобы выйти из командной подсказки.

Обновление сертификата Certificate Renewal

Срок действия зарегистрированного клиентского сертификата истекает после периода использования. The enrolled client certificate expires after a period of use. Срок действия сертификата указывается сервером. The expiration date of the certificate is specified by the server. Чтобы обеспечить непрерывный доступ к корпоративным приложениям, Windows поддерживает процесс обновления сертификатов, инициированный пользователем. To ensure continuous access to enterprise applications, Windows supports a user-triggered certificate renewal process. Пользователю предложено предоставить текущий пароль для корпоративной учетной записи, а клиент регистрации получает новый клиентский сертификат с сервера регистрации и удаляет старый сертификат. The user is prompted to provide the current password for the corporate account, and the enrollment client gets a new client certificate from the enrollment server and deletes the old certificate. Клиент создает новую пару закрытых и общедоступных ключей, создает запрос PKCS#7 и подписывает запрос PKCS#7 с существующим сертификатом. The client generates a new private/public key pair, generates a PKCS#7 request, and signs the PKCS#7 request with the existing certificate. В Windows также поддерживается автоматическое обновление клиентского сертификата MDM. In Windows, automatic MDM client certificate renewal is also supported.

Убедитесь, что EntDMID в поставщике служб конфигурации DMClient задан до запуска запроса на продление сертификата. Make sure that the EntDMID in the DMClient configuration service provider is set before the certificate renewal request is triggered.

В этом разделе In this topic

Автоматический запрос на продление сертификата Automatic certificate renewal request

Помимо обновления сертификата вручную, Windows включает поддержку автоматического обновления сертификата, также известного как Renew On Behalf of (ROBO), которое не требует взаимодействия с пользователем. In addition to manual certificate renewal, Windows includes support for automatic certificate renewal, also known as Renew On Behalf Of (ROBO), that does not require any user interaction. Для автоматического обновления клиент регистрации использует существующий клиентский сертификат MDM для выполнения клиентской безопасности транспортного слоя (TLS). For auto renewal, the enrollment client uses the existing MDM client certificate to perform client Transport Layer Security (TLS). Маркер безопасности пользователя не нужен в загонах SOAP. The user security token is not needed in the SOAP header. В результате сервер регистрации сертификата MDM необходим для поддержки клиентской TLS для проверки подлинности клиента на основе сертификатов для автоматического обновления сертификата. As a result, the MDM certificate enrollment server is required to support client TLS for certificate based client authentication for automatic certificate renewal.

Продление сертификата сертификата регистрации через ROBO поддерживается только с помощью Microsoft PKI. Certificate renewal of the enrollment certificate through ROBO is only supported with Microsoft PKI.

Автоматическое обновление сертификата является единственным поддерживаемым методом обновления клиентского сертификата MDM для устройства, которое регистрируется с помощью проверки подлинности WAB (это означает, что authPolicy задан федерацией). Auto certificate renewal is the only supported MDM client certificate renewal method for the device that is enrolled using WAB authentication (meaning that the AuthPolicy is set to Federated). Это также означает, что если сервер поддерживает проверку подлинности WAB, сервер регистрации сертификата MDM также должен поддерживать клиентскую TLS для обновления клиентского сертификата MDM. It also means if the server supports WAB authentication, the MDM certificate enrollment server MUST also support client TLS in order to renew the MDM client certificate.

Для устройства, зарегистрированного с помощью метода проверки подлинности OnPremise, для обратной совместимости метод обновления по умолчанию — обновление сертификата вручную. For the device that is enrolled with the OnPremise authentication method, for backward compatibility, the default renewal method is user manual certificate renewal. Однако для устройств Windows на этапе регистрации клиентского сертификата MDM или в разделе управление MDM сервер регистрации или сервер MDM могли настроить устройство для поддержки автоматического обновления клиентского сертификата MDM через узел ROBOSupport CSP в CertificateStore/My/WSTEP/Renew URL-адрес. However, for Windows devices, during the MDM client certificate enrollment phase or during MDM management section, the enrollment server or MDM server could configure the device to support automatic MDM client certificate renewal via CertificateStore CSP’s ROBOSupport node under CertificateStore/My/WSTEP/Renew URL. Дополнительные сведения о параметрах конфигурации, связанных с обновлением, обратитесь к поставщику служб конфигурации CertificateStore. For more information about Renew related configuration settings, refer to the CertificateStore configuration service provider.

В отличие от ручного обновления сертификата, где для контента сообщений PKCS#7 есть дополнительная кодировки b64, с автоматическим обновлением содержимое сообщений PKCS#7 не закодировано отдельно. Unlike manual certificate renewal where there is an additional b64 encoding for PKCS#7 message content, with automatic renewal, the PKCS#7 message content isn’t b64 encoded separately.

В процессе автоматического обновления сертификата, если корневому сертификату не доверяет устройство, проверка подлинности будет неуверенной. During the automatic certificate renewal process, if the root certificate isn’t trusted by the device, the authentication will fail. Убедитесь, что с помощью одного из предварительно установленных корневых сертификатов устройства или предоставления корневого сертификата на сеансе DM с помощью поставщика служб конфигурации CertificateStore. Make sure using one of device pre-installed root certificates or provision the root cert over a DM session via CertificateStore Configuration Service Provider.

Во время автоматического обновления сертификата устройство будет отключать запрос на перенаправление HTTP с сервера, если только это не тот URL-адрес перенаправления, который явно был принят пользователем во время начального процесса регистрации MDM. During the automatic certificate renew process, the device will deny HTTP redirect request from the server unless it is the same redirect URL that the user explicitly accepted during the initial MDM enrollment process.

В следующем примере показаны сведения об автоматическом запросе на обновление. The following example shows the details of an automatic renewal request.

Конфигурация расписания обновления сертификатов Certificate renewal schedule configuration

В Windows период обновления можно установить только на этапе регистрации MDM. In Windows, the renewal period can only be set during the MDM enrollment phase. Windows поддерживает период обновления сертификата и повторное восстановление сбоя, которые можно настроить как на сервере регистрации MDM, так и на сервере управления MDM с помощью узлов RenewPeriod и RenewInterval CSP в CertificateStore. Windows supports a certificate renewal period and renewal failure retry to be configurable by both MDM enrollment server and later by the MDM management server using CertificateStore CSP’s RenewPeriod and RenewInterval nodes. Устройство может повторно повторить автоматическое обновление сертификата несколько раз до истечения срока действия сертификата. The device could retry automatic certificate renewal multiple times until the certificate expires. Для обновления сертификата вручную вместо того, чтобы напоминать пользователю только один раз, устройство Windows будет напоминать пользователю с помощью оперативного диалогового окна в любое время повторного обновления до истечения срока действия сертификата. For manual certificate renewal, instead of only reminding the user once, the Windows device will remind the user with a prompt dialog at every renewal retry time until the certificate is expired.

Дополнительные сведения о параметрах см. в справке к поставщику служб конфигурации CertificateStore. For more information about the parameters, see the CertificateStore configuration service provider.

В отличие от ручного обновления сертификата, устройство не будет выполнять автоматическое обновление клиентского сертификата MDM, если срок действия сертификата истек. Unlike manual certificate renewal, the device will not perform an automatic MDM client certificate renewal if the certificate is already expired. Чтобы у устройства было достаточно времени для автоматического обновления, рекомендуется установить период обновления за пару месяцев (40-60 дней) до истечения срока действия сертификата и установить интервал повторного обновления каждые несколько дней, например каждые 4-5 дней, а не каждые 7 дней (еженедельно), чтобы увеличить вероятность подключения устройства в разные дни недели. To make sure that the device has enough time to perform an automatic renewal, we recommend that you set a renewal period a couple months (40-60 days) before the certificate expires and set the renewal retry interval to be every few days such as every 4-5 days instead every 7 days (weekly) to increase the chance that the device will a connectivity at different days of the week.

Для компьютеров, которые ранее были зарегистрированы в MDM в Windows 8.1, а затем обновлены до Windows 10, для сертификата регистрации запускается обновление. For PCs that were previously enrolled in MDM in Windows 8.1 and then upgraded to Windows 10, renewal will be triggered for the enrollment certificate. После этого обновление будет происходить с установленным интервалом ROBO. Thereafter, renewal will happen at the configured ROBO interval. Для устройств Windows Phone 8.1, обновленных до Windows 10 Mobile, обновление будет происходить в настроенном внутреннем ROBO. For Windows Phone 8.1 devices upgraded to Windows 10 Mobile, renewal will happen at the configured ROBO internal. Это ожидается и по проекту. This is expected and by design.

Ответ на обновление сертификата Certificate renewal response

При обновлении RequestType веб-служба проверяет следующее (в добавок к начальной регистрации): When RequestType is set to Renew, the web service verifies the following (in additional to initial enrollment):

• Подпись PKCS#7 BinarySecurityToken является правильной The signature of the PKCS#7 BinarySecurityToken is correct
• Сертификат клиента находится в периоде обновления The client’s certificate is in the renewal period
• Сертификат был выдан службой регистрации The certificate was issued by the enrollment service
• Запрашиватель такой же, как и запрашиватель начальной регистрации. The requester is the same as the requester for initial enrollment
• Для запроса стандартного клиента клиент не был заблокирован For standard client’s request, the client hasn’t been blocked

После завершения проверки веб-служба извлекает содержимое PKCS#10 из PKCS#7 BinarySecurityToken. After validation is completed, the web service retrieves the PKCS#10 content from the PKCS#7 BinarySecurityToken. Остальное то же самое, что и первоначальная регистрация, за исключением того, что XML подготовка должна иметь только новый сертификат, выданный ЦС. The rest is the same as initial enrollment, except that the Provisioning XML only needs to have the new certificate issued by the CA.

Ответ HTTP-сервера не должен быть ломким; оно должно быть отправлено в качестве одного сообщения. The HTTP server response must not be chunked; it must be sent as one message.

В следующем примере показаны сведения о ответе на обновление сертификата. The following example shows the details of an certificate renewal response.

Клиент получает новый сертификат вместо обновления начального сертификата. The client receives a new certificate, instead of renewing the initial certificate. Администратор управляет шаблоном сертификата, который должен использовать клиент. The administrator controls which certificate template the client should use. Шаблоны могут быть разными во время обновления, чем начальное время регистрации. The templates may be different at renewal time than the initial enrollment time.

Поставщики служб конфигурации, поддерживаемые во время регистрации mDM и обновления сертификатов Configuration service providers supported during MDM enrollment and certificate renewal

Следующие поставщики служб конфигурации поддерживаются в процессе регистрации mDM и обновления сертификатов. The following configuration service providers are supported during MDM enrollment and certificate renewal process. Подробные описания каждого поставщика служб конфигурации см. в справке к поставщику услуг конфигурации. See Configuration service provider reference for detailed descriptions of each configuration service provider.

• CertificateStore CertificateStore
• w7 APPLICATION w7 APPLICATION
• DMClient DMClient
• EnterpriseAppManagement EnterpriseAppManagement

—>