Certificados y confianza en Windows

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

El Programa de certificados raíz de Microsoft permite la distribución de certificados raíz de confianza y que no son de confianza dentro de sistemas operativos Windows. Para obtener más información sobre la lista de miembros del Programa de certificados raíz de Windows, vea Lista de participantes - Programa raíz de confianza de Microsoft.

Los sistemas operativos Windows y las aplicaciones usan certificados raíz de confianza y que no son de confianza como referencia al determinar si las jerarquías de infraestructura de clave pública (PKI) y los certificados digitales son de confianza. Los certificados raíz que no son de confianza son aquellos que se sabe públicamente que son fraudulentos. La funcionalidad de los certificados raíz de confianza y que no son de confianza funciona en todos los entornos, ya sean conectados o desconectados.

Los certificados raíz de confianza y que no son de confianza se incluyen en una lista de certificados de confianza (CTL). Cuando quiera distribuir certificados raíz, use una CTL. Windows Server incluye la funcionalidad de actualización diaria automática que incluye descargas de los CTL más recientes. La lista de certificados raíz de confianza y que no son de confianza se denomina CTL de confianza y CTL que no son de confianza, respectivamente. Para obtener más información, consulte Anunciar el actualizador automático de claves y certificados de poca confianza.

Los servidores y clientes acceden al sitio de Windows Update para actualizar la CTL mediante el mecanismo de actualización diaria automática (actualizador de CTL) que se describe en este artículo. Puede aprovechar la funcionalidad del actualizador de CTL instalando las actualizaciones de software adecuadas. Consulte el artículo Configurar raíces de confianza y certificados no permitidos para obtener instrucciones sobre la instalación de las actualizaciones de software en los sistemas operativos compatibles que se describen en este artículo.

Actualizaciones automáticas de la lista de certificados de confianza

De forma predeterminada, Windows descarga las CTL de Internet a través de un mecanismo automático denominado Actualizador de CTL. Las direcciones URL públicas usadas por el actualizador de CTL se pueden poner a disposición de los clientes:

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

La funcionalidad de la actualización automática también se puede deshabilitar si es necesario, aunque no se recomienda.

También puede crear una plantilla administrativa de directiva de grupo (directiva ADMX) para redirigir a un servidor interno para las actualizaciones.

La ubicación del registro en el que se almacenan las CTL de confianza y que no son de confianza, como se indica a continuación:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

Ventajas del actualizador de CTL

La funcionalidad de actualización automática mediante el actualizador de CTL ofrece varias ventajas:

• Configuración del Registro para almacenar CTL La nueva configuración permite cambiar la ubicación para cargar las CTL de confianza o de no confianza desde el sitio de Windows Update a una ubicación compartida en una organización. Consulte Configuración del registro modificada.

• Opciones de sincronización Si la dirección URL para el sitio de Windows Update se mueve a una carpeta compartida local, dicha carpeta debe estar sincronizada con la carpeta de Windows Update. Esta actualización de software agrega un conjunto de opciones en la herramienta Certutil que puede utilizar para habilitar la sincronización. Para obtener más información, consulte la referencia de comandos de Windows Certutil -syncWithWU.

• Herramienta para seleccionar certificados raíz de confianza Esta actualización de software incorpora una herramienta para administrar el conjunto de certificados raíz de confianza en su entorno empresarial. Puede ver y seleccionar el conjunto de certificados raíz de confianza, exportarlos a un almacén de certificados en serie y distribuirlos utilizando la directiva de grupo. Para obtener más información, vea la referencia de comandos de Windows Certutil -generateSSTFromWU SSTFile.

• Capacidad de configuración independiente El mecanismo de actualización automática para certificados de confianza y que no son de confianza son configurables de forma independiente; puede usar el mecanismo de actualización automática para descargar solo las CTL que no son de confianza y administrar su propia lista de CTL de confianza. Para obtener más información, consulte la sección Configuración del Registro modificada.

Consulte Configurar raíces de confianza y certificados no permitidos para obtener instrucciones sobre la instalación de las actualizaciones de software en los sistemas operativos compatibles que se describen en este artículo.

La funcionalidad de la actualización automática se puede deshabilitar si es necesario, aunque no se recomienda.

Pasos siguientes

Ahora comprende más sobre los certificados raíz de confianza y no permitidos en Windows; estos son algunos artículos más que pueden ayudarle a configurar sus sistemas.

• Configurar raíces de confianza y certificados no permitidos

• Lista de participantes: Programa de certificados raíz de confianza de Microsoft

• Controlar la característica de Actualizar certificados raíz para evitar el flujo de información desde y hacia Internet

• Id. de evento 8: configuración de actualización automática de certificados raíz

• Referencia de comandos de Windows certutil