Configurer des racines de confiance et des certificats non autorisés dans Windows

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Stack HCI, versions 23H2 and 22H2

Redirigez l’URL de mise à jour automatique Microsoft vers un serveur web ou un serveur de fichiers hébergeant des listes d’approbation de certificats (CTL), des listes CTL de certificats non approuvés ou un sous-ensemble des fichiers CTL approuvés dans un environnement déconnecté.

Pour en savoir plus sur le fonctionnement du programme de certificat racine Microsoft afin de distribuer automatiquement des certificats racines approuvés sur les systèmes d’exploitation Windows, consultez Certificats et approbation.

Conseil

Vous n’avez pas besoin de rediriger l’URL de mise à jour automatique Microsoft pour les environnements où les ordinateurs peuvent se connecter directement au site Windows Update. Les ordinateurs capables de se connecter au site Windows Update peuvent recevoir quotidiennement des listes CTL mises à jour.

Prérequis

Avant de pouvoir configurer votre environnement déconnecté pour utiliser des fichiers CTL hébergés sur un serveur web ou un serveur de fichiers, vous devez satisfaire les prérequis suivants.

Prérequis pour le client

• Au moins un ordinateur capable de se connecter à Internet pour télécharger les listes CTL de Microsoft. L’ordinateur requiert un accès HTTP (port TCP 80) et la fonction de résolution de noms (TCP et port UDP 53) pour contacter ctldl.windowsupdate.com. Cet ordinateur peut être un membre de domaine ou un membre d’un groupe de travail. Actuellement, tous les fichiers téléchargés nécessitent environ 1,5 Mo d’espace.
• Les machines clientes doivent être connectées à un domaine Active Directory Domain Services
• Vous devez être membre du groupe Administrateurs local

Configuration requise du serveur

• Un serveur de fichiers ou un serveur web pour héberger les fichiers CTL
• Stratégie de groupe AD ou solution GPM pour déployer les paramètres de configuration sur votre client
• Un compte membre du groupe Admins du domaine ou auquel les autorisations nécessaires ont été déléguées

Méthodes de configuration

Un administrateur peut configurer un serveur web ou un serveur de fichiers afin de télécharger les fichiers suivants à l’aide du mécanisme de chargement automatique :

• authrootstl.cab contient une liste CTL non-Microsoft

• disallowedcertstl.cab contient une liste CTL avec des certificats non approuvés

• disallowedcert.sst contient un magasin de certificats sérialisés, y compris des certificats non approuvés

• <thumbprint>.crt contient des certificats racines non-Microsoft

La procédure permettant d’effectuer cette configuration est décrite dans la section Configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL de ce document.

Il existe plusieurs méthodes pour configurer votre environnement afin qu’il utilise des fichiers CTL locaux ou un sous-ensemble de listes CTL de confiance. Vous pouvez appliquer les méthodes suivantes.

• Configurer des ordinateurs membres du domaine des services de domaine Active Directory (AD DS) pour utiliser le mécanisme de mise à jour automatique pour les listes CTL de confiance et non approuvées, sans avoir accès au site Windows Update. Cette configuration est décrite dans la section Rediriger l’URL de mise à jour automatique Microsoft de ce document.

• Configurer des ordinateurs membres du domaine AD DS pour s’abonner de façon indépendante aux mises à jour automatiques des listes CTL de confiance et non approuvées. La configuration d’abonnement indépendant est décrite dans la section Rediriger l’URL de mise à jour automatique Microsoft pour les listes CTL non approuvées uniquement de ce document.

• Examiner l’ensemble des certificats racines dans le programme de certificat racine Windows. L’examen de l’ensemble de certificats racines permet aux administrateurs de sélectionner un sous-ensemble de certificats à distribuer au moyen d’un objet de stratégie de groupe. Cette configuration est décrite dans la section Utiliser un sous-ensemble des listes CTL de confiance de ce document.

Important

• Les paramètres décrits dans ce document sont implémentés à l’aide d’objets de stratégie de groupe. Ces paramètres ne sont pas automatiquement supprimés si l’objet de stratégie de groupe n’est pas lié au domaine AD DS ou est supprimé de celui-ci. Une fois implémentés, ces paramètres peuvent être modifiés uniquement à l’aide d’un objet de stratégie de groupe ou en modifiant le Registre des ordinateurs concernés.

• Les concepts abordés dans ce document sont indépendants de WSUS (Windows Server Update Services).

Configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL

Pour faciliter la distribution des certificats de confiance ou non autorisés pour un environnement déconnecté, vous devez d’abord configurer un serveur de fichiers ou Web pour télécharger les fichiers CTL à partir du mécanisme de mise à jour automatique.

Récupérer les fichiers CTL à partir de Windows Update

1. Créez un dossier partagé sur un serveur de fichiers ou Web qui peut lancer la synchronisation à l’aide du mécanisme de mise à jour automatique et que vous voulez utiliser pour stocker les fichiers CTL.

   Conseil

   Avant de commencer, il est possible que vous deviez adapter les autorisations de dossiers partagés et de dossiers NTFS pour permettre l’accès au compte approprié, en particulier si vous utilisez une tâche planifiée avec un compte de service. Pour plus d’informations sur l’adaptation des autorisations, consultez Gestion des autorisations pour des dossiers partagés.

2. À partir d’une invite PowerShell avec élévation de privilèges, exécutez la commande suivante :

   Certutil -syncWithWU \\<server>\<share>
   

   Remplacez <server> par le nom réel du serveur et <share> par le nom du dossier partagé. Par exemple, pour un serveur nommé Server1 avec un dossier partagé nommé CTL, vous exécuterez la commande suivante :

   Certutil -syncWithWU \\Server1\CTL
   

3. Téléchargez les fichiers CTL sur un serveur auquel les ordinateurs d’un environnement déconnecté peuvent accéder sur le réseau à l’aide d’un chemin FILE (par exemple FILE://\\Server1\CTL) ou d’un chemin HTTP (par exemple http://Server1/CTL).

Notes

• Si le serveur qui synchronise les listes CTL n’est pas accessible à partir des ordinateurs dans l’environnement déconnecté, vous devez fournir une autre méthode de transfert des informations. Par exemple, vous pouvez permettre à l’un des membres du domaine de se connecter au serveur, puis planifier une autre tâche sur l’ordinateur membre du domaine de façon à extraire les informations dans un dossier partagé ou sur un serveur web interne. En l’absence de connexion réseau, il est possible que vous deviez utiliser un processus manuel pour transférer les fichiers, par exemple un périphérique de stockage amovible.

• Si vous envisagez d’utiliser un serveur Web, vous devez créer un répertoire virtuel pour les fichiers CTL. Les étapes permettant de créer un répertoire virtuel à l’aide des services Internet (IIS) sont presque les mêmes pour tous les systèmes d’exploitation pris en charge abordés dans ce document. Pour plus d’informations, consultez Créer un répertoire virtuel (IIS 7).

• Une protection spéciale est appliquée à certains dossiers système et d’applications dans Windows. Par exemple, le dossier inetpub nécessite des autorisations d’accès spéciales, ce qui complique la création d’un dossier partagé à utiliser avec une tâche planifiée pour transférer les fichiers. Un administrateur peut créer un emplacement de dossier à la racine d’un système de lecteurs logiques à utiliser pour les transferts de fichiers.

Rediriger l’URL de mise à jour automatique Microsoft

Les ordinateurs de votre réseau peuvent être configurés dans un environnement déconnecté et, par conséquent, ne pas pouvoir utiliser le mécanisme de mise à jour automatique ou télécharger des listes CTL. Vous pouvez implémenter un objet de stratégie de groupe dans AD DS pour configurer ces ordinateurs afin d’obtenir les mises à jour CTL à partir d’un autre emplacement.

La configuration de cette section part du principe que vous avez déjà effectué la procédure dans Configurer un serveur de fichiers ou web pour télécharger les fichiers CTL.

Pour configurer un modèle d’administration personnalisé pour un objet de stratégie de groupe

1. Sur un contrôleur de domaine, créez un modèle d’administration. Ouvrez un fichier texte dans le Bloc-notes, puis remplacez l’extension de nom de fichier par .adm. Le contenu du fichier doit se présenter comme suit :

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate"
       POLICY !!RootDirURL
          EXPLAIN !!RootDirURL_help
          PART !!RootDirURL EDITTEXT
                VALUENAME "RootDirURL"
          END PART
       END POLICY
   END CATEGORY
   [strings]
   RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
   RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Utilisez un nom descriptif pour enregistrer le fichier, par exemple RootDirURL.adm.

   • Vérifiez que l’extension de nom de fichier est .adm et non .txt.

   • Si vous n’avez pas encore activé l’affichage des extensions de noms de fichiers, consultez How To: View File Name Extensions.

   • Si vous enregistrez le fichier dans le dossier %windir%\inf, il sera plus facile à trouver lors des étapes suivantes.

3. Ouvrez l’Éditeur de gestion des stratégies de groupe. Sélectionnez Démarrer > Exécuter, tapez GPMC.msc, puis appuyez sur Entrée.

   Avertissement

   Vous pouvez lier un nouvel objet de stratégie de groupe au domaine ou à toute unité d’organisation. Les modifications de l’objet de stratégie de groupe implémentées dans ce document changent les paramètres de Registre des ordinateurs concernés. Vous ne pouvez pas annuler ces paramètres en supprimant l’objet de stratégie de groupe ou sa liaison. Les paramètres ne peuvent être changés qu’en les annulant dans les paramètres de l’objet de stratégie de groupe ou en modifiant le Registre en utilisant une autre technique.

4. Développez l’objet Forêt, l’objet Domaines, puis le domaine spécifique qui contient les comptes d’ordinateurs à modifier. Si vous voulez modifier une unité d’organisation spécifique, accédez à cet emplacement.

5. Cliquez avec le bouton droit, puis sélectionnez Créer un objet GPO dans ce domaine, et le lier ici pour créer un nouvel objet GPO.

6. Dans le volet de navigation, sous Configuration ordinateur, développez Stratégies.

7. Sélectionnez Modèles d’administration avec le bouton droit, puis sélectionnez Ajouter/Supprimer des modèles.

8. Dans Ajout/Suppression de modèles, sélectionnez Ajouter.

9. Dans la boîte de dialogue Modèles de stratégie , sélectionnez le modèle .adm que vous avez enregistré. Sélectionnez Ouvrir, puis Fermer.

10. Dans le volet de navigation, développez Modèles d’administration, puis Modèles d’administration classiques (ADM).

11. Sélectionnez Windows AutoUpdate Settings et, dans le volet d’informations, double-cliquez sur URL address to be used instead of default ctldl.windowsupdate.com.

12. Sélectionnez Enabled. Dans la section Options, entrez l’URL vers le serveur de fichiers ou Web qui contient les fichiers CTL. Par exemple, http://server1/CTL ou file://\\server1\CTL.

13. Sélectionnez OK.

14. Fermez l’Éditeur de gestion des stratégies de groupe.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

Important

Les listes CTL de confiance et non approuvées pouvant être mises à jour quotidiennement, assurez la synchronisation des fichiers en utilisant une tâche planifiée ou une autre méthode (par exemple, un script qui gère les conditions d’erreur) pour mettre à jour le dossier partagé ou le répertoire virtuel Web. Pour plus d’informations sur la création d’une tâche planifiée à l’aide de PowerShell, consultez New-ScheduledTask. Si vous planifiez d’écrire un script pour effectuer des mises à jour quotidiennes, consultez les informations de référence sur les commandes Windows certutil.

Rediriger l’URL de mise à jour automatique Microsoft pour les listes CTL non approuvées uniquement

Il est possible que certaines organisations ne veuillent mettre à jour automatiquement que les listes CTL non approuvées (et non les listes CTL de confiance). Pour mettre à jour automatiquement uniquement les listes CTL non approuvées, créez deux modèles .adm à ajouter à la stratégie de groupe.

Dans un environnement déconnecté, vous pouvez utiliser la procédure suivante avec la précédente (Rediriger l’URL de mise à jour automatique Microsoft pour un environnement déconnecté). Cette procédure décrit comment désactiver de manière sélective la mise à jour automatique des listes CTL de confiance.

Vous pouvez également appliquer cette procédure dans un environnement connecté en mode d’isolation pour désactiver de manière sélective la mise à jour automatique des listes CTL de confiance.

Pour rediriger de manière sélective uniquement les listes CTL non approuvées

1. Sur un contrôleur de domaine, créez le premier modèle d’administration en commençant par un fichier texte, puis en remplaçant l’extension de nom de fichier par .adm. Le contenu du fichier doit se présenter comme suit :

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!DisableRootAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "DisableRootAutoUpdate"
          VALUEON NUMERIC 0
             VALUEOFF NUMERIC 1
   
       END POLICY
   END CATEGORY
   [strings]
   DisableRootAutoUpdate="Auto Root Update"
   Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

2. Utilisez un nom descriptif pour enregistrer le fichier, par exemple DisableAllowedCTLUpdate.adm.

3. Créez un second modèle d’administration. Le contenu du fichier doit se présenter comme suit :

   CLASS MACHINE
   CATEGORY !!SystemCertificates
       KEYNAME "Software\Policies\Microsoft\SystemCertificates\AuthRoot"
       POLICY !!EnableDisallowedCertAutoUpdate
          EXPLAIN !!Certificates_config
          VALUENAME "EnableDisallowedCertAutoUpdate"
          VALUEON NUMERIC 1
             VALUEOFF NUMERIC 0
   
       END POLICY
   END CATEGORY
   [strings]
   EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
   Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
   SystemCertificates="Windows AutoUpdate Settings"
   

4. Utilisez un nom de fichier descriptif pour enregistrer le fichier, par exemple EnableUntrustedCTLUpdate.adm.

   • Vérifiez que l’extension des noms de ces fichiers est .adm et non .txt.

   • Si vous enregistrez le fichier dans le dossier %windir%\inf, il sera plus facile à trouver lors des étapes suivantes.

5. Ouvrez l’Éditeur de gestion des stratégies de groupe.

6. Développez l’objet Forêt, l’objet Domaines, puis le domaine spécifique qui contient les comptes d’ordinateurs à modifier. Si vous voulez modifier une unité d’organisation spécifique, accédez à cet emplacement.

7. Dans le volet de navigation, sous Configuration ordinateur, développez Stratégies.

8. Sélectionnez Modèles d’administration avec le bouton droit, puis sélectionnez Ajouter/Supprimer des modèles.

9. Dans Ajout/Suppression de modèles, sélectionnez Ajouter.

10. Dans la boîte de dialogue Modèles de stratégie , sélectionnez le modèle .adm que vous avez enregistré. Sélectionnez Ouvrir, puis Fermer.

11. Dans le volet de navigation, développez Modèles d’administration, puis Modèles d’administration classiques (ADM).

12. Sélectionnez Windows AutoUpdate Settings et, dans le volet d’informations, double-cliquez sur Auto Root Update.

13. Sélectionnez Désactivée, puis OK.

14. Dans le volet d’informations, double-cliquez sur Untrusted CTL Automatic Update, puis sélectionnez Activé et OK.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

Important

Les listes CTL de confiance et non approuvées pouvant être mises à jour quotidiennement, assurez la synchronisation des fichiers en utilisant une tâche planifiée ou une autre méthode pour mettre à jour le dossier partagé ou le répertoire virtuel.

Utiliser un sous-ensemble des listes CTL de confiance

Cette section décrit la façon dont vous pouvez créer, examiner et filtrer les listes CTL de confiance qui doivent être utilisées par les ordinateurs de votre organisation. Vous devez implémenter les objets de stratégie de groupe décrits dans les procédures précédentes pour utiliser cette résolution. Cette résolution est disponible pour les environnements connectés et déconnectés.

Vous devez exécuter deux procédures pour personnaliser la liste des listes CTL de confiance.

1. Créer un sous-ensemble de certificats de confiance

2. Distribuer les certificats de confiance à l’aide de la stratégie de groupe

Pour créer un sous-ensemble de certificats de confiance

Voici comment générer des fichiers SST à l’aide du mécanisme de mise à jour automatique de Windows. Pour plus d’informations sur la génération de fichiers SST, consultez les informations de référence sur les commandes Windows Certutil.

1. À partir d’un ordinateur connecté à Internet, ouvrez Windows PowerShell en tant qu’administrateur ou, ouvrez une invite de commandes avec élévation de privilèges et tapez la commande suivante :

   Certutil -generateSSTFromWU WURoots.sst
   

2. Exécutez la commande suivante dans l’Explorateur Windows pour ouvrir WURoots.sst :

   start explorer.exe wuroots.sst
   

   Conseil

   Vous pouvez également utiliser Internet Explorer pour accéder au fichier et double-cliquer dessus pour l’ouvrir. En fonction de l’emplacement de stockage du fichier, vous pouvez également être en mesure de l’ouvrir en tapant wuroots.sst.

3. Ouvrez le gestionnaire de certificats.

4. Développez le chemin du fichier sous Certificats - Utilisateur actuel jusqu’à voir Certificats, puis sélectionnez Certificats.

5. Dans le volet d’informations, les certificats de confiance s’affichent. Maintenez la touche Ctrl enfoncée et sélectionnez chacun des certificats que vous voulez autoriser. Une fois la sélection des certificats à autoriser terminée, cliquez avec le bouton droit sur l’un des certificats sélectionnés, sélectionnez Toutes les tâches, puis Exporter.

   • Vous devez sélectionner au moins deux certificats pour exporter le type de fichier .sst. Si vous ne sélectionnez qu’un certificat, le type de fichier .sst n’est pas disponible, et le type de fichier .cer est sélectionné à la place.

6. Dans l’Assistant Exportation du certificat, sélectionnez Suivant.

7. Dans la page Format du fichier d’exportation, sélectionnez Magasin de certificats sérialisés Microsoft (.SST), puis Suivant.

8. Dans la page Fichier à exporter, entrez un chemin de fichier et un nom approprié pour le fichier, par exemple C:\AllowedCerts.sst, puis sélectionnez Suivant.

9. Sélectionnez Terminer. Lorsque vous êtes informé de la réussite de l’exportation, sélectionnez OK.

10. Copiez le fichier .sst que vous avez créé sur un contrôleur de domaine.

Pour distribuer la liste des certificats de confiance à l’aide de la stratégie de groupe

1. Sur le contrôleur de domaine qui dispose du fichier .sst personnalisé, ouvrez l’Éditeur de gestion des stratégies de groupe.

2. Développez l’objet Forêt, l’objet Domaines, puis l’objet de domaine spécifique à modifier. Cliquez avec le bouton droit sur l’objet de stratégie de groupe de la stratégie de domaine par défaut, puis sélectionnez Modifier.

3. Dans le volet de navigation, sous Configuration ordinateur, développez Stratégies, Paramètres Windows, Paramètres de sécurité, puis Stratégies de clé publique.

4. Cliquez avec le bouton droit sur Autorités de certification racines de confiance, puis sélectionnez Importer.

5. Dans l’Assistant Importation du certificat, sélectionnez Suivant.

6. Entrez le chemin d’accès et le nom du fichier que vous avez copié sur le contrôleur de domaine, ou utilisez le bouton Parcourir pour rechercher le fichier. Sélectionnez Suivant.

7. Confirmez que vous voulez placer ces certificats dans le magasin de certificats Autorités de certification racines de confiance en sélectionnant Suivant. Sélectionnez Terminer. Lorsque vous êtes informé de la réussite de l’importation des certificats, sélectionnez OK.

8. Fermez l’Éditeur de gestion des stratégies de groupe.

La stratégie prend immédiatement effet, mais les ordinateurs clients doivent être redémarrés pour recevoir les nouveaux paramètres, ou vous pouvez taper gpupdate /force à partir d’une invite de commandes avec élévation de privilèges ou de Windows PowerShell.

Paramètres de Registre modifiés

Les paramètres décrits dans ce document configurent les clés de Registre suivantes sur les ordinateurs clients. Ces paramètres ne sont pas automatiquement supprimés si l’objet de stratégie de groupe est délié du domaine ou est supprimé de celui-ci. Ces paramètres doivent être reconfigurés si vous voulez les modifier.

• Activez ou désactivez la mise à jour automatique Windows de la liste CTL de confiance :

  • Clé : HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
  • Type : REG_DWORD
  • Nom : DisableRootAutoUpdate
  • Données : 0 pour activer ou 1 pour désactiver.
  • Par défaut : aucune clé n’est présente par défaut. Sans clé présente, la valeur par défaut est Activé.

• Activez ou désactivez la mise à jour automatique Windows de la liste CTL non approuvée :

  • Clé : SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot
  • Type : REG_DWORD
  • Nom : EnableDisallowedCertAutoUpdate
  • Données : 1 pour activer ou 0 pour désactiver.
  • Par défaut : aucune clé n’est présente par défaut. Sans clé présente, la valeur par défaut est Activé.

• Définissez l’emplacement du fichier CTL partagé (HTTP ou le chemin FILE) :

  • Clé : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl
  • Type : REG_SZ
  • Nom : RootDirUrl
  • Données : entrez un URI HTTP ou de fichier valide.
  • Par défaut : aucune clé n’est présente par défaut. Sans clé présente, le comportement par défaut consiste à utiliser Windows Update.

Vérifier les listes CTL (Liste de certificats de confiance) approuvées et non approuvées

Pour différentes raisons, il peut être nécessaire de supprimer d’une machine cliente toutes les listes CTL approuvées et non approuvées. Les options de Certutil suivantes peuvent être utilisées pour supprimer d’une machine cliente toutes les listes CTL approuvées et non approuvées.

certutil -verifyCTL AuthRoot
certutil -verifyCTL Disallowed

Vérification de l’heure de la dernière synchronisation

Pour vérifier l’heure de synchronisation la plus récente sur l’ordinateur local pour les listes CTL de confiance ou non approuvées, exécutez la commande Certutil suivante :

certutil -verifyctl AuthRoot | findstr /i "lastsynctime"
certutil -verifyctl Disallowed | findstr /i "lastsynctime"

Liens connexes

• Certificats et confiance

• Liste des participants - Programme de certification racine approuvé Microsoft

• Informations de référence sur les commandes Windows certutil

• Contrôle de la fonctionnalité Mettre les certificats racine à jour pour empêcher le flux d’informations à destination et en provenance d’Internet