Certificados e relação de confiança no Windows

• Aplica-se a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

O Programa de Certificado Raiz da Microsoft permite a distribuição de certificados raiz confiáveis e não confiáveis nos sistemas operacionais Windows. Para obter mais informações sobre a lista de membros do Programa de Certificado Raiz do Windows, confira Lista de participantes – Programa de Raiz Confiável da Microsoft.

Os certificados raiz confiáveis e não confiáveis são usados por sistemas operacionais Windows e aplicativos como referência ao determinar se as hierarquias de PKI (infraestrutura de chave pública) e os certificados digitais são confiáveis. Os certificados não confiáveis são aqueles publicamente conhecidos como fraudulentos. A funcionalidade dos certificados raiz confiáveis e não confiáveis funciona em todos os ambientes, sejam eles conectados ou desconectados.

Os certificados raiz confiáveis e não confiáveis estão contidos em uma CTL (lista de certificados confiáveis). Quando você quiser distribuir certificados raiz, use uma CTL. O Windows Server conta com uma funcionalidade de atualização diária automática que inclui downloads das CTLs mais recentes. A lista de certificados raiz confiáveis e não confiáveis é chamada de CTL Confiável e CTL Não Confiável, respectivamente. Para obter mais informações, confira Anúncio do atualizador automático de chaves e certificados não confiáveis.

Os servidores e os clientes acessam o site do Windows Update para atualizar a CTL por meio do mecanismo de atualização diária automática (atualizador de CTL) discutido neste artigo. Você pode aproveitar a funcionalidade do atualizador de CTL instalando as atualizações de software apropriadas. Confira o artigo Configurar raízes confiáveis e certificados não permitidos para obter diretrizes sobre como instalar as atualizações de software nos sistemas operacionais com suporte discutidos neste artigo.

Atualizações automáticas da lista de certificados confiáveis

Por padrão, o Windows baixa as CTLs da Internet por meio de um mecanismo automático chamado Atualizador de CTL. As URLs públicas usadas pelo Atualizador de CTL podem ser disponibilizadas aos clientes:

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

A funcionalidade de atualização automática também pode ser desabilitada, se necessário, embora isso não seja recomendável.

Como alternativa, você também pode criar uma Política de Grupo modelos administrativos (política de ADMX) para redirecionamento para um servidor interno visando às atualizações.

O local do Registro em que as CTLs confiáveis e não confiáveis são armazenadas é o seguinte:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

Benefícios do Atualizador de CTL

A funcionalidade de atualização automática com o Atualizador de CTL oferece vários benefícios:

• Configurações de Registro para armazenar CTLs As novas configurações permitem alterar o local das CTLs confiáveis ou não confiáveis do site do Windows Update para um local compartilhado em uma organização. Confira Configurações modificadas do Registro.

• Opções de sincronização Se a URL para o site do Windows Update for movida para uma pasta compartilhada local, essa pasta deverá ser sincronizada com a pasta do Windows Update. Essa atualização de software adiciona um conjunto de opções à ferramenta CertUtil que você pode usar para habilitar a sincronização. Para obter mais informações, confira a referência de comandos Certutil -syncWithWU do Windows.

• Ferramenta usada para selecionar certificados raiz confiáveis Esta atualização de software apresenta uma ferramenta para gerenciar o conjunto de certificados raiz confiáveis no ambiente da sua empresa. Você pode ver e selecionar o conjunto de certificados raiz confiáveis, exportá-los para um repositório de certificados serializado e distribuí-los usando a Política de Grupo. Para obter mais informações, confira a referência de comandos Certutil -generateSSTFromWU SSTFile do Windows.

• Capacidade de configuração independente O mecanismo de atualização automática para certificados confiáveis e não confiáveis pode ser configurado de maneira independente. Use o mecanismo de atualização automática para baixar apenas as CTLs não confiáveis e gerenciar sua lista de CTLs confiáveis. Para obter mais informações, confira Configurações modificadas do Registro.

Confira Configurar raízes confiáveis e certificados não permitidos para obter diretrizes sobre como instalar as atualizações de software nos sistemas operacionais com suporte discutidos neste artigo.

A funcionalidade de atualização automática pode ser desabilitada, se necessário, embora isso não seja recomendável.

Próximas etapas

Agora que você entende um pouco mais sobre os certificados raiz confiáveis e não permitidos no Windows, confira alguns outros artigos que podem ajudar você a configurar seus sistemas.

• Configurar raízes confiáveis e certificados não permitidos

• Lista de participantes – Programa Raiz Confiável da Microsoft

• Controle do recurso para atualizar certificados raiz para evitar o fluxo de informações para a Internet e proveniente dela

• ID do evento 8 — Configuração da atualização automática de certificados raiz

• certutil Referência de comandos do Windows