Certificats et approbation dans Windows

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

Le programme de certificat racine Microsoft permet la distribution de certificats racines de confiance et non approuvés dans les systèmes d’exploitation Windows. Pour plus d’informations sur la liste des membres du programme de certificat racine Windows, consultez Liste des participants - Programme de certificat racine de confiance Microsoft.

Les certificats racines de confiance et non approuvés sont utilisés par les applications et les systèmes d’exploitation Windows comme référence pour déterminer si les hiérarchies d’infrastructure à clé publique (PKI) et les certificats numériques sont fiables. Les certificats racines non autorisés sont des certificats connus comme étant frauduleux. La fonctionnalité de certificats racines de confiance et non approuvés fonctionne dans tous les environnements, qu’ils soient connectés ou déconnectés.

Les certificats racines de confiance et non approuvés sont contenus dans une liste de certificats de confiance (CTL). Lorsque vous souhaitez distribuer des certificats racines, vous utilisez une liste CTL. Windows Server propose une fonctionnalité de mise à jour quotidienne automatique qui inclut les téléchargements des dernières listes CTL. Les listes des certificats racines de confiance et non approuvés sont appelées respectivement liste CTL de confiance et liste CTL non approuvée. Pour plus d’informations, consultez Annonce du programme de mise à jour automatisé des certificats et clés non fiables.

Les serveurs et les clients accèdent au site Windows Update pour mettre à jour la liste TL à l’aide du mécanisme de mise à jour quotidienne automatique (mise à jour de liste CTL) décrit dans cet article. Vous pouvez tirer parti des fonctionnalités de mise à jour de liste CTL en installant les mises à jour logicielles appropriées. Consultez l’article Configurer des racines de confiance et des certificats non autorisés pour obtenir des conseils sur l’installation des mises à jour logicielles sur les systèmes d’exploitation pris en charge décrits dans cet article.

Mises à jour automatiques des listes d’approbation de certificats

Par défaut, Windows télécharge les listes CTL à partir d’Internet via un mécanisme automatique appelé CTL Updater. Les URL publiques utilisées par CTL Updater peuvent être mises à la disposition des clients :

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

La fonctionnalité de mise à jour automatique peut également être désactivée si nécessaire, bien que cela ne soit pas recommandé.

Vous pouvez également créer des modèles d’administration de stratégie de groupe (stratégie ADMX) pour rediriger vers un serveur interne en vue des mises à jour.

Les emplacements du Registre où sont stockées les listes CTL de confiance et non approuvées sont les suivants :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

Avantages de CTL Updater

La fonctionnalité de mise à jour automatique à l’aide de CTL Updater offre plusieurs avantages :

• Paramètres de Registre pour le stockage des listes CTL De nouveaux paramètres permettent de remplacer l’emplacement du chargement des listes CTL de confiance ou non approuvées du site Windows Update par un emplacement partagé dans une organisation. Consultez Paramètres de Registre modifiés.

• Options de synchronisation Si l’URL du site Windows Update est déplacée vers un dossier partagé local, celui-ci doit être synchronisé avec le dossier Windows Update. Cette mise à jour logicielle ajoute un ensemble d’options à l’outil Certutil que vous utilisez pour activer la synchronisation. Pour plus d’informations, consultez les informations de référence sur la commande Windows Certutil -syncWithWU.

• Outil pour sélectionner les certificats racines de confiance Cette mise à jour logicielle propose un outil pour la gestion de l’ensemble des certificats racines de confiance dans votre environnement d’entreprise. Vous pouvez afficher et sélectionner l’ensemble des certificats racines de confiance, les exporter vers un magasin de certificats sérialisés, et les distribuer à l’aide de la stratégie de groupe. Pour plus d’informations, consultez les informations de référence sur la commande Windows Certutil -generateSSTFromWU SSTFile.

• Configurabilité indépendante Les mécanismes de mise à jour automatique pour les certificats de confiance et non approuvés sont configurables indépendamment ; vous pouvez utiliser le mécanisme de mise à jour automatique pour télécharger uniquement les listes CTL non approuvées et gérer votre propre liste de listes CTL de confiance. Pour plus d’informations, consultez Paramètres de Registre modifiés.

Consultez Configurer des racines de confiance et des certificats non autorisés pour obtenir des conseils sur l’installation des mises à jour logicielles sur les systèmes d’exploitation pris en charge décrits dans cet article.

La fonctionnalité de mise à jour automatique peut être désactivée si nécessaire, mais cela n’est pas recommandé.

Étapes suivantes

Maintenant que vous en savez davantage sur les certificats racines de confiance et non autorisés dans Windows, voici quelques articles supplémentaires qui peuvent vous aider à configurer vos systèmes.

• Configurer des racines de confiance et des certificats non autorisés

• Liste des participants - Programme de certification racine approuvé Microsoft

• Contrôle de la fonctionnalité Mettre les certificats racine à jour pour empêcher le flux d’informations à destination et en provenance d’Internet

• ID d’événement 8 — Configuration de la mise à jour automatique des certificats racines

• Informations de référence sur les commandes Windows certutil