Configurar raíces de confianza y certificados no permitidos en Windows

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Redirigir la dirección URL de actualización automática de Microsoft a un archivo o servidor web que hospeda listas de certificados de confianza (CTL), CTL que no son de confianza o un subconjunto de los archivos CTL de confianza en un entorno desconectado.

Para obtener más información sobre cómo funciona el programa de certificados raíz de Microsoft para distribuir certificados raíz de confianza automáticamente en sistemas operativos Windows, consulte Certificados y confianza.

Sugerencia

No es necesario redirigir la dirección URL de actualización automática de Microsoft para entornos en los que los equipos pueden conectarse directamente al sitio de Windows Update. Los equipos con conexión al sitio de Windows Update pueden recibir CTL actualizadas todos los días.

Prerrequisitos

Para poder configurar el entorno desconectado para usar archivos CTL hospedados en un archivo o servidor web, debe completar los siguientes requisitos previos.

Requisitos previos del cliente

• Al menos un equipo capaz de conectarse a Internet para descargar CTL desde Microsoft. El equipo requiere acceso a HTTP (puerto TCP 80) y capacidad de resolución de nombres (puerto TCP y UDP 53) para contactar con ctldl.windowsupdate.com. Este equipo puede ser un miembro de dominio o un miembro de un grupo de trabajo. Actualmente, todos los archivos descargados requieren aproximadamente 1,5 MB de espacio.
• Las máquinas de clientes deben estar conectadas a un dominio de servicio de dominio de Active Directory.
• Debe ser miembro del grupo de administradores local.

Requisitos previos del servidor

• Un servidor de archivos o servidor web para hospedar los archivos CTL.
• Directiva de grupo de AD o solución MDM para implementar la configuración a su cliente.
• Una cuenta miembro del grupo Administradores del dominio o que se le han delegado los permisos necesarios

Métodos de configuración

Un administrador puede configurar un archivo o servidor web para descargar los siguientes archivos mediante el mecanismo de actualización automática:

• authrootstl.cab contiene un CTL que no es de Microsoft.

• disallowedcertstl.cab contiene un CTL con certificados que no son de confianza.

• disallowedcert.sst contiene un almacén de certificados en serie, el cual incluye certificados que no son de confianza.

• <thumbprint>.crt contiene certificados raíz que no son de Microsoft.

Los pasos para llevar a cabo esta configuración se describen en la sección Configurar un servidor web o de archivos para descargar los archivos CTL de este documento.

Hay varios métodos para configurar el entorno para usar archivos CTL locales o un subconjunto de CTL de confianza. Los siguientes métodos están disponibles.

• Configurar los equipos miembros del dominio de los Servicios de dominio de Active Directory (AD DS) para que utilicen el mecanismo de actualización automática para las CTL de confianza y de no confianza, sin tener acceso al sitio de Windows Update. Esta configuración se describe en la sección Redirigir la dirección URL de actualización automática de Microsoft del presente documento.

• Configurar los equipos miembros del dominio AD DS para que participen de forma independiente en las actualizaciones automáticas de las CTL de confianza y de no confianza. Esta participación independiente se describe en la sección Redirigir la dirección URL de actualización automática de Microsoft solo para CTL que no son de confianza del presente documento.

• Examinar el conjunto de certificados raíz del Programa de certificados raíz de Windows. Examinar el conjunto de certificados raíz permite a los administradores seleccionar un subconjunto de certificados para su distribución mediante un objeto de directiva de grupo (GPO). Esta configuración se describe en la sección Utilizar un subconjunto de las CTL de confianza del presente documento.

Importante

• La configuración descrita en este documento se implementa utilizando objetos de directiva de grupo (GPO). Dicha configuración no se elimina automáticamente si el GPO se desvincula o se elimina del dominio AD DS. Una vez implementada, esta configuración solo puede cambiarse utilizando un GPO o modificando el registro de los equipos afectados.

• Los conceptos tratados en este documento son independientes de Windows Server Update Services (WSUS).

Configurar un servidor web o de archivos para descargar los archivos CTL

Para facilitar la distribución de certificados de confianza o que no son de confianza en un entorno desconectado, primero debe configurar un servidor web o de archivos para descargar los archivos CTL desde el mecanismo de actualización automática.

Recuperar los archivos CTL de Windows Update

1. Cree una carpeta compartida en un servidor web o de archivos que pueda sincronizarse utilizando el mecanismo de actualización automática y que desee utilizar para almacenar los archivos CTL.

   Sugerencia

   Antes de empezar, podría tener que ajustar los permisos de la carpeta compartida y los permisos de la carpeta NTFS para permitir el acceso adecuado a la cuenta, sobre todo si está utilizando una tarea programada con una cuenta de servicio. Para obtener más información sobre el ajuste de permisos, consulte Administración de permisos para carpetas compartidas.

2. En un símbolo de sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:

   Certutil -syncWithWU \\<server>\<share>
   

   Sustituya el nombre real del servidor por <server> y el nombre de la carpeta compartida por <share>. Por ejemplo, para un servidor denominado Server1 con una carpeta compartida denominada CTL, debería ejecutar el comando:

   Certutil -syncWithWU \\Server1\CTL
   

3. Descargue los archivos CTL en un servidor al que puedan obtener acceso los equipos de un entorno desconectado a través de la red usando una ruta de acceso FILE (por ejemplo, FILE://\\Server1\CTL) o una ruta de acceso HTTP (por ejemplo, http://Server1/CTL).

Nota

• Si el servidor que sincroniza las CTL no es accesible desde los ordenadores del entorno desconectado, debe proporcionar otro método para transferir la información. Por ejemplo, puede permitir que uno de los miembros del dominio se conecte al servidor, y después programar otra tarea en el equipo miembro del dominio para que recupere la información en una carpeta compartida en un servidor web interno. Si no existe absolutamente ninguna conexión de red, podría tener que utilizar un proceso manual para transferir los archivos, como un dispositivo de almacenamiento extraíble.

• Si piensa utilizar un servidor web, debería crear un nuevo directorio virtual para los archivos CTL. Los pasos para crear un directorio virtual utilizando Internet Information Services (IIS) son prácticamente los mismos para todos los sistemas operativos compatibles mencionados en este documento. Para obtener más información, consulte Crear un directorio virtual (ISS7).

• A algunas carpetas de aplicaciones y del sistema de Windows se les aplica una protección especial. Por ejemplo, la carpeta inetpub requiere permisos de acceso especiales, lo que dificulta la tarea de crear una carpeta compartida para utilizarla con una tarea programada para transferir archivos. Un administrador puede crear una ubicación de carpeta en la raíz de un sistema de unidad lógica con el fin de utilizarla para la transferencia de archivos.

Redirigir la dirección URL de actualización automática de Microsoft

Es posible que los equipos de la red estén configurados en un entorno desconectado y, por tanto, no puedan usar el mecanismo de actualización automática ni descargar CTL. Puede implementar un GPO en AD DS para configurar estos equipos para obtener las actualizaciones de CTL desde una ubicación alternativa.

Para llevar a cabo la configuración indicada en esta sección, tendrá que haber realizado los pasos explicados en Configurar un servidor web o de archivos para descargar los archivos CTL.

Para configurar una plantilla administrativa personalizada para un GPO

1. En un controlador de dominio, cree una nueva plantilla administrativa. Abra un archivo de texto en el Bloc de notas y cambie la extensión de nombre de archivo por .adm. Los contenidos del archivo deben ser los siguientes:

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
       POLICY !!RootDirURL
          EXPLAIN !!RootDirURL_help
          PART !!RootDirURL EDITTEXT
                VALUENAME "RootDirURL"
          END PART
       END POLICY
   END CATEGORY
   [strings]
   RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
   RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Utilice un nombre descriptivo para guardar el archivo, como RootDirURL.adm.

   • Asegúrese de que la extensión del nombre del archivo es .adm y no .txt.

   • Si todavía no tiene habilitada la visualización de extensiones de nombre de archivo, consulte Cómo visualizar extensiones de nombres de archivo.

   • Si guarda el archivo en la carpeta %windir%\inf, es más fácil ubicarlo en los siguientes pasos.

3. Abra el Editor de administración de directivas de grupo. Seleccione Iniciar > Ejecutar, escriba GPMC.msc y presione ENTRAR.

   Advertencia

   Puede vincular un nuevo GPO al dominio o a cualquier unidad organizativa (OU). Las modificaciones en el GPO implementadas en este documento alteran la configuración del Registro de los equipos afectados. No puede deshacer dicha configuración eliminando o desvinculando el GPO. La configuración solo puede deshacerse invirtiéndola en la configuración del GPO o modificando el Registro mediante otra técnica.

4. Expanda el objeto Bosque, expanda el objeto Dominios y, a continuación, expanda el dominio específico que contiene las cuentas del equipo que desea cambiar. Si desea modificar una OU específica, navegue hasta esa ubicación.

5. Seleccione con el botón derecho y después seleccione Crear un GPO en este dominio y vincularlo aquí para crear un GPO nuevo.

6. En el panel de navegación, en Configuración del equipo, expanda Directivas.

7. Seleccione Plantillas administrativas con el botón derecho y, después, Agregar o quitar plantillas.

8. En Agregar o quitar plantillas, seleccione en Agregar.

9. En el cuadro de diálogo Plantillas de directivas, seleccione la plantilla .adm que guardó anteriormente. Seleccione Abrir y, después, Cerrar.

10. En el panel de navegación, expanda Plantillas administrativas y, después, Plantillas administrativas clásicas (ADM).

11. Seleccione Configuración de actualizaciones automáticas de Windows y, en el panel de detalles, haga doble clic en Dirección URL a usar en vez de la dirección ctldl.windowsupdate.com predeterminada.

12. Seleccione Habilitado. En la sección Opciones, introduzca la dirección URL en el servidor web o de archivos que contiene los archivos CTL. Por ejemplo, http://server1/CTL o file://\\server1\CTL.

13. Selecciona Aceptar.

14. Cierre el Editor de administración de directivas de grupo.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

Importante

Las CTL de confianza o de no confianza pueden actualizarse a diario, por lo que debe asegurarse de mantener los archivos sincronizados utilizando una tarea programada u otro método (como un script que controle las situaciones de error) para actualizar la carpeta compartida o el directorio virtual web. Para obtener más información sobre cómo crear una tarea programada mediante PowerShell, consulte New-ScheduledTask. Si va a escribir una secuencia de comandos para realizar actualizaciones diarias, consulte la referencia de comandos de Windows certutil.

Redirigir la dirección URL de actualización automática de Microsoft solo para CTL de no confianza

Algunas organizaciones podrían desear que solo se actualizasen automáticamente las CTL que no son de confianza (no las CTL de confianza). Para actualizar automáticamente solo las CTL que no son de confianza, cree dos plantillas .adm para agregar a la directiva de grupo.

En un entorno desconectado, puede utilizar el siguiente procedimiento junto con el procedimiento anterior (redirigir la dirección URL de actualización automática de Microsoft para CTL de confianza y para CTL de no confianza). Este procedimiento explica cómo deshabilitar de forma selectiva la actualización automática de las CTL de confianza.

También puede utilizar dicho procedimiento en un entorno conectado aislado para deshabilitar de forma selectiva la actualización automática de las CTL de confianza.

Para redirigir de forma selectiva solo las CTL de no confianza

1. En un controlador de dominio, cree la primera plantilla administrativa nueva partiendo de un archivo de texto, y después cambie la extensión del nombre de archivo a .adm. Los contenidos del archivo deben ser los siguientes:

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!DisableRootAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "DisableRootAutoUpdate"
          VALUEON NUMERIC 0
             VALUEOFF NUMERIC 1
   
       END POLICY
   END CATEGORY
   [strings]
   DisableRootAutoUpdate="Auto Root Update"
   Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Utilice un nombre descriptivo para guardar el archivo, como DisableAllowedCTLUpdate.adm.

3. Cree una segunda plantilla administrativa nueva. Los contenidos del archivo deben ser los siguientes:

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!EnableDisallowedCertAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "EnableDisallowedCertAutoUpdate"
          VALUEON NUMERIC 1
             VALUEOFF NUMERIC 0
   
       END POLICY
   END CATEGORY
   [strings]
   EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
   Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

4. Utilice un nombre descriptivo para guardar el archivo, como EnableUntrustedCTLUpdate.adm.

   • Asegúrese de que las extensiones de los nombres de estos archivos son .adm y no .txt.

   • Si guarda el archivo en la carpeta %windir%\inf, es más fácil ubicarlo en los siguientes pasos.

5. Abra el Editor de administración de directivas de grupo.

6. Expanda el objeto Bosque, expanda el objeto Dominios y, a continuación, expanda el dominio específico que contiene las cuentas del equipo que desea cambiar. Si desea modificar una OU específica, navegue hasta esa ubicación.

7. En el panel de navegación, en Configuración del equipo, expanda Directivas.

8. Seleccione Plantillas administrativas con el botón derecho y, después, Agregar o quitar plantillas.

9. En Agregar o quitar plantillas, seleccione en Agregar.

10. En el cuadro de diálogo Plantillas de directivas, seleccione la plantilla .adm que guardó anteriormente. Seleccione Abrir y, después, Cerrar.

11. En el panel de navegación, expanda Plantillas administrativasy, después, Plantillas administrativas clásicas (ADM).

12. Haga clic en Configuración de actualización automática de Windows y, en el panel de detalles, haga doble clic en Actualización de raíz automática.

13. Seleccione Deshabilitado y, después, Aceptar.

14. En el panel de detalles, haga doble clic en Actualización automática de CTL que no son de confianza y, a continuación, seleccione Habilitado y Aceptar.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

Importante

Las CTL de confianza o de no confianza pueden actualizarse a diario, por lo que debe asegurarse de mantener los archivos sincronizados utilizando una tarea programada u otro método para actualizar la carpeta compartida o el directorio virtual.

Utilizar un subconjunto de CTL de confianza

Esta sección describe la manera de producir, revisar y filtrar las CTL de confianza que desea que utilicen los equipos de su organización. Debe implementar los GPO descritos en los procedimientos anteriores para usar esta resolución. Esta resolución está disponible para entornos conectados y desconectados.

Existen dos procedimientos para personalizar la lista de CTL de confianza.

1. Crear un subconjunto de certificados de confianza

2. Distribuir los certificados de confianza utilizando la directiva de grupo

Para crear un subconjunto de certificados de confianza

Aquí se muestra cómo generar archivos SST mediante el mecanismo de actualización automática de Windows desde Windows. Para obtener más información sobre cómo generar archivos SST, consulte la referencia de comandos de Windows Certutil.

1. Desde un equipo conectado a Internet, abra Windows PowerShell como administrador o abra un símbolo del sistema con privilegios elevados, y escriba el siguiente comando:

   Certutil -generateSSTFromWU WURoots.sst
   

2. Ejecute el siguiente comando en el Explorador de Windows para abrir WURoots.sst:

   start explorer.exe wuroots.sst
   

   Sugerencia

   También puede usar Internet Explorer para navegar hasta el archivo y hacer doble clic para abrirlo. En función de dónde ha almacenado el archivo, también podría abrirlo escribiendo wuroots.sst.

3. Abra el Administrador de certificados.

4. Expanda la ruta de acceso del archivo en Certificados: usuario actual hasta que vea Certificados y, a continuación, seleccione Certificados.

5. En el panel de detalles, verá los certificados de confianza. Mantenga pulsada la tecla CTRL y seleccione en cada uno de los certificados que desee permitir. Cuando haya acabado de seleccionar los certificados que desee permitir, haga clic con el botón derecho en uno de los certificados seleccionados, seleccione Todas las tareasy, a continuación, seleccione Exportar.

   • Debe seleccionar como mínimo dos certificados para exportar el tipo de archivo .sst. Si solo selecciona un certificado, el tipo de archivo .sst el tipo de archivo no estará disponible, y en su lugar se seleccionará el tipo de archivo .cer.

6. En el Asistente para exportación de certificados, seleccione Siguiente.

7. En la página Formato de archivo de exportación, seleccione Almacén de certificados en serie de Microsoft (.SST) y después seleccione Siguiente.

8. En la página Archivo para exportar, introduzca una ruta de acceso al archivo y un nombre apropiado para el archivo, como C:\AllowedCerts.sst y después seleccione Siguiente.

9. Seleccione Finalizar. Cuando se le notifique que la exportación se ha realizado correctamente, seleccione Aceptar.

10. Copie el archivo .sst que ha creado en un controlador de dominio.

Para distribuir la lista de certificados de confianza utilizando la directiva de grupo

1. En el controlador de dominio que tiene el archivo .sst personalizado, abra el Editor de administración de directivas de grupo.

2. Expanda el objeto Bosque, Dominios y el objeto de dominio específico que desee modificar. Haga clic con el botón derecho en el GPO de la directiva predeterminada de dominio y, a continuación, seleccione Editar.

3. En el panel de navegación, en Configuración del equipo, expanda Directivas, expanda Configuración de Windows, expanda Configuración de seguridad y, por último, expanda Directivas de clave pública.

4. Haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a continuación, seleccione Importar.

5. En el Asistente para importar certificados, seleccione Siguiente.

6. Introduzca la ruta de acceso y el nombre del archivo que copió en el controlador de dominio, o utilice el botón Examinar para ubicar el archivo. Seleccione Next (Siguiente).

7. Confirme que desea colocar esos certificados en el almacén de certificados de las Entidades de certificación raíz de confianza seleccionando Siguiente. seleccione Finalizar. Cuando se le notifique que la importación de los certificados se ha realizado correctamente, seleccione Aceptar.

8. Cierre el Editor de administración de directivas de grupo.

La directiva es efectiva de inmediato, pero los equipos del cliente deben reiniciarse para recibir la configuración nueva, o bien puede escribir gpupdate /force en un símbolo del sistema con privilegios elevados o en Windows PowerShell.

Configuración del Registro modificada

La configuración descrita en este documento configura las siguientes claves de Registro en los equipos de los clientes. Dicha configuración no se elimina automáticamente si el GPO se desvincula o se elimina del dominio. Esta configuración debe reconfigurarse si desea cambiarla.

• Habilite o deshabilite la actualización automática de Windows de la CTL de confianza:

  • Clave: HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
  • Tipo: REG_DWORD
  • Nombre: DisableRootAutoUpdate
  • Datos: 0 para habilitar o 1 para deshabilitar.
  • Valor predeterminado: no hay ninguna clave presente de forma predeterminada. Sin una clave presente, el valor predeterminado está habilitado.

• Habilite o deshabilite la actualización automática de Windows de la CTL que no es de confianza:

  • Clave: SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
  • Tipo: REG_DWORD
  • Nombre: EnableDisallowedCertAutoUpdate
  • Datos: 1 para habilitar o 0 para deshabilitar.
  • Valor predeterminado: no hay ninguna clave presente de forma predeterminada. Sin una clave presente, el valor predeterminado está habilitado.

• Establezca la ubicación del archivo CTL compartido (HTTP o ruta de acceso del archivo):

  • Clave: HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
  • Tipo: REG_SZ
  • Nombre: RootDirUrl
  • Datos: escriba un HTTP o URI de archivo válido.
  • Valor predeterminado: no hay ninguna clave presente de forma predeterminada. Sin una clave presente, el comportamiento predeterminado usó Windows Update.

Comprobación de los CTL de confianza y que no son de confianza

Puede ser necesario por varias razones comprobar todas las CTL de confianza y que no son de confianza de la máquina de un cliente. Las siguientes opciones de Certutil se pueden usar para comprobar todas las CTL de confianza y que no son de confianza de una máquina de un cliente.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Comprobando la hora de la última sincronización

Para comprobar la hora de sincronización más reciente en el equipo local de CTL de confianza o que no son de confianza, ejecute el siguiente comando Certutil:

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"

Vínculos relacionados

• Certificados y confianza

• Lista de participantes: Programa de certificados raíz de confianza de Microsoft

• Referencia de comandos de Windows certutil

• Controlar la característica de Actualizar certificados raíz para evitar el flujo de información desde y hacia Internet