Windows 中的证书和信任

使用 Microsoft 根证书计划可以在 Windows 操作系统内部分发受信任和不受信任的根证书。 有关 Windows 根证书计划中的成员列表的详细信息,请参阅参与者列表 - Microsoft 受信任的根计划

在确定公钥基础结构 (PKI) 层次结构和数字证书是否可信时,Windows 操作系统和应用程序使用受信任和不受信任的根证书作为参考。 不受信任的根证书是指众所周知的欺骗性证书。 受信任和不受信任的根证书功能适用于所有环境,无论是已连接还是断开连接。

受信任和不受信任的根证书包含在证书信任列表 (CTL) 中。 如果要分发根证书,请使用 CTL。 Windows Server 具有每日自动更新功能,包括下载最新的 CTL。 受信任的和不受信任的根证书的列表分别称为受信任的 CTL 和不受信任的 CTL。 有关详细信息,请参阅 公布不可信证书和密钥的自动更新程序

服务器和客户端访问 Windows 更新站点以使用本文中讨论的每日自动更新机制(CTL 更新程序)更新 CTL。 可以通过安装相应的软件更新来利用 CTL 更新程序功能。 有关在本文讨论的受支持的操作系统上安装软件更新的指导,请参阅配置受信任根和不允许的证书一文。

自动证书信任列表更新

默认情况下,Windows 通过称为 CTL 更新程序的自动机制从 Internet 下载 CTL。 CTL 更新程序使用的公共 URL 可提供给客户端:

  • http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
  • http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

如有必要,也可以禁用自动更新功能,但不建议这样做。

或者,还可以创建组策略管理模板(ADMX 策略)以重定向到内部服务器进行更新。

存储受信任和不受信任的 CTL 的注册表位置如下:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

CTL 更新程序的优点

使用 CTL 更新程序的自动更新功能具有以下几个优点:

  • 用于存储 CTL 的注册表设置 使用新设置可以更改上载位置,以便将受信任或不受信任的 CTL 从 Windows 更新站点上载到组织中的共享位置。 请参阅修改的注册表设置

  • 同步选项 如果将 Windows Update 站点的 URL 移到了本地共享文件夹,则必须将该本地共享文件夹与 Windows 更新文件夹同步。 此软件更新将在 Certutil 工具中添加一组选项,可以使用这些选项来启用同步。 有关详细信息,请参阅 Certutil -syncWithWU Windows 命令参考。

  • 用于选择受信任根证书的工具 - 此软件更新为管理企业环境中受信任根证书集引入了一个工具。 可以查看和选择受信任根证书集,将其导出到系列化证书存储,然后使用组策略进行分发。 有关详细信息,请参阅 Certutil -generateSSTFromWU SSTFile Windows 命令参考。

  • 独立可配置性 - 针对受信任证书和不受信任证书的自动更新机制可独立配置。可以使用自动更新机制仅下载不受信任的 CTL,并管理自己的受信任 CTL 列表。 有关详细信息,请参阅修改的注册表设置

有关在本文讨论的受支持的操作系统上安装软件更新的指导,请参阅配置受信任根和不允许的证书

如有必要,可以禁用自动更新功能,但不建议这样做。

后续步骤

现在,你已详细了解了 Windows 中受信任的根证书和不允许的证书,下面提供了一些可能帮助你配置系统的文章。