सभी विंडोज़ संस्करणों में माइक्रोसॉफ्ट वेबसाइटों से रूट प्रमाणपत्रों को स्वचालित रूप से अपडेट करने के लिए एक अंतर्निहित सुविधा है। MSFT, Microsoft विश्वसनीय रूट प्रमाणपत्र कार्यक्रम के भाग के रूप में , अपने ऑनलाइन भंडार में ग्राहकों और विंडोज उपकरणों के लिए विश्वसनीय प्रमाणपत्रों की एक सूची बनाए रखता है और प्रकाशित करता है। यदि इसकी प्रमाणन श्रृंखला में सत्यापित प्रमाणपत्र इस प्रोग्राम में भाग लेने वाले रूट CA को संदर्भित करता है, तो सिस्टम स्वचालित रूप से इस रूट प्रमाणपत्र को Windows अद्यतन सर्वर से डाउनलोड करेगा और इसे विश्वसनीय सर्वर में जोड़ देगा।
Windows सप्ताह में एक बार विश्वसनीय रूट प्रमाणपत्र सूची (CTL) को अपडेट करता है। यदि विंडोज के पास विंडोज अपडेट तक सीधी पहुंच नहीं है, तो सिस्टम रूट सर्टिफिकेट को अपडेट नहीं कर पाएगा। इसलिए वेबसाइटों को ब्राउज़ करते समय उपयोगकर्ता को कुछ परेशानी हो सकती है (जो एसएसएल प्रमाणपत्र एक अविश्वसनीय सीए द्वारा हस्ताक्षरित हैं - "क्रोम एसएसएल त्रुटि:यह साइट एक सुरक्षित कनेक्शन प्रदान नहीं कर सकती" के बारे में लेख देखें), या हस्ताक्षरित स्क्रिप्ट को स्थापित/चलाने के साथ और ऐप्स।
इस लेख में, हम यह पता लगाने की कोशिश करेंगे कि सीधे इंटरनेट एक्सेस के बिना डिस्कनेक्ट किए गए (पृथक) नेटवर्क या कंप्यूटर/सर्वर में TrustedRootCA में रूट प्रमाणपत्रों की सूची को मैन्युअल रूप से कैसे अपडेट किया जाए।
सामग्री:
- Windows 10 और 11 में विश्वसनीय रूट प्रमाणपत्र प्रबंधित करना
- Windows में स्वचालित रूट प्रमाणपत्र अपडेट को अक्षम/सक्षम कैसे करें?
- Certutil:Windows अद्यतन से विश्वसनीय रूट प्रमाणपत्र डाउनलोड करें
- विंडोज़ में सर्टिफिकेट ट्रस्ट लिस्ट (एसटीएल)
- एक अलग वातावरण में GPO के माध्यम से विश्वसनीय रूट प्रमाणपत्र अपडेट करना
- Windows 7 में विश्वसनीय रूट प्रमाणपत्र कैसे अपडेट करें?
- Rootsupd.exe टूल का उपयोग करके Windows XP पर रूट प्रमाणपत्र अपडेट करना
Windows 10 और 11 में विश्वसनीय रूट प्रमाणपत्र प्रबंधित करना
Windows कंप्यूटर पर विश्वसनीय रूट प्रमाणपत्रों की सूची कैसे देखें?
- Windows 11/10/8.1/7 या Windows Server 2022/2019/2016 चलाने वाले कंप्यूटर का रूट प्रमाणपत्र स्टोर खोलने के लिए, mmc.exe चलाएँ कंसोल;
- फ़ाइल चुनें -> स्नैप-इन जोड़ें/निकालें , प्रमाणपत्र . चुनें (सर्टिफिकेट) स्नैप-इन की सूची में -> जोड़ें;
- चुनें कि आप स्थानीय कंप्यूटर खाते के प्रमाणपत्र प्रबंधित करना चाहते हैं;
- अगला -> ठीक -> ठीक;
- प्रमाणपत्र का विस्तार करें नोड -> विश्वसनीय रूट प्रमाणन प्राधिकरण स्टोर करें। इस अनुभाग में आपके कंप्यूटर पर विश्वसनीय रूट प्रमाणपत्रों की सूची है।
एमएमसी कंसोल में, आप किसी भी प्रमाणपत्र के बारे में जानकारी देख सकते हैं या इसे विश्वसनीय लोगों से हटा सकते हैं।
आप पावरशेल का उपयोग करके विश्वसनीय रूट प्रमाणपत्रों की सूची उनकी समाप्ति तिथियों के साथ भी प्राप्त कर सकते हैं:
Get-Childitem cert:\LocalMachine\root |format-list
आप समाप्त हो चुके प्रमाणपत्रों को सूचीबद्ध कर सकते हैं, या जो अगले 60 दिनों में समाप्त हो जाएंगे:
Get-ChildItem cert:\LocalMachine\root|Where {$_.NotAfter -lt (Get-Date).AddDays(60)}|select NotAfter, Subject
आप निर्यात/आयात विकल्पों का उपयोग करके विंडोज़ कंप्यूटरों के बीच रूट प्रमाणपत्र फ़ाइल को मैन्युअल रूप से स्थानांतरित कर सकते हैं।
- आप किसी भी प्रमाणपत्र को .CER फ़ाइल पर क्लिक करके और सभी कार्य -> निर्यात का चयन करके निर्यात कर सकते हैं;
- आप सभी कार्य -> आयात विकल्प का उपयोग करके इस प्रमाणपत्र को किसी अन्य कंप्यूटर पर आयात कर सकते हैं।
Windows में स्वचालित रूट प्रमाणपत्र अपडेट को अक्षम/सक्षम कैसे करें?
जैसा कि हमने उल्लेख किया है, विंडोज स्वचालित रूप से रूट प्रमाणपत्रों को अपडेट करता है। आप Windows में GPO या रजिस्ट्री के माध्यम से प्रमाणपत्र नवीनीकरण को सक्षम या अक्षम कर सकते हैं।
स्थानीय समूह नीति संपादक (gpedit.msc) खोलें और कंप्यूटर कॉन्फ़िगरेशन -> प्रशासनिक टेम्पलेट -> सिस्टम -> इंटरनेट संचार प्रबंधन -> इंटरनेट संचार पर जाएं।
स्वचालित रूट प्रमाणपत्र अपडेट बंद करें इस खंड में विकल्प आपको विंडोज अपडेट साइट्स के माध्यम से रूट प्रमाणपत्रों के स्वत:अद्यतन को अक्षम करने की अनुमति देता है। डिफ़ॉल्ट रूप से, यह नीति कॉन्फ़िगर नहीं की गई है और Windows हमेशा रूट प्रमाणपत्रों को स्वचालित रूप से नवीनीकृत करने का प्रयास करता है।
यदि यह GPO विकल्प कॉन्फ़िगर नहीं किया गया है और रूट प्रमाणपत्र स्वचालित रूप से नवीनीकृत नहीं होते हैं, तो जांचें कि क्या यह सेटिंग रजिस्ट्री में मैन्युअल रूप से सक्षम है। PowerShell का उपयोग करके रजिस्ट्री पैरामीटर के मान की जाँच करें:
Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate
यदि आदेश देता है कि DisableRootAutoUpdate . का मान रजिस्ट्री पैरामीटर 1 है , तो आपके कंप्यूटर पर रूट प्रमाणपत्रों का अद्यतन अक्षम है। इसे सक्षम करने के लिए, पैरामीटर मान को 0 में बदलें।
Certutil:Windows Update से विश्वसनीय रूट प्रमाणपत्र डाउनलोड करें
Certutil.exe सीएलआई उपकरण का उपयोग प्रमाणपत्रों को प्रबंधित करने के लिए किया जा सकता है (विंडोज 10 में पेश किया गया, विंडोज 7 के लिए एक अलग अपडेट के रूप में उपलब्ध है)। इसका उपयोग विंडोज अपडेट से रूट सर्टिफिकेट की अप-टू-डेट सूची डाउनलोड करने और इसे एक एसएसटी फाइल में सहेजने के लिए किया जा सकता है।
विंडोज 10 या 11 चलाने वाले कंप्यूटर पर एसएसटी फाइल जेनरेट करने के लिए और इंटरनेट तक सीधी पहुंच रखने के लिए, एलिवेटेड कमांड प्रॉम्प्ट खोलें और कमांड चलाएं:
certutil.exe -generateSSTFromWU C:\PS\roots.sst
Updated SST file. CertUtil: -generateSSTFromWU command completed successfully.
परिणामस्वरूप, रूट प्रमाणपत्रों की अप-टू-डेट सूची वाली एक SST फ़ाइल लक्ष्य निर्देशिका में दिखाई देगी। इसे खोलने के लिए डबल-क्लिक करें। यह फ़ाइल विश्वसनीय रूट प्रमाणपत्र वाला एक कंटेनर है।
जैसा कि आप देख सकते हैं, एक परिचित प्रमाणपत्र प्रबंधन स्नैप-इन खुलता है, जिससे आप अपने पास मौजूद किसी भी प्रमाणपत्र को निर्यात कर सकते हैं। मेरे मामले में, प्रमाणपत्रों की सूची में 358 आइटम हैं। जाहिर है, प्रमाणपत्रों को निर्यात करना और उन्हें एक-एक करके स्थापित करना तर्कसंगत नहीं है।
युक्ति .certutil -syncWithWU कमांड का उपयोग व्यक्तिगत प्रमाणपत्र फाइलें उत्पन्न करने के लिए किया जा सकता है। इस तरह से प्राप्त प्रमाणपत्रों को GPO का उपयोग करके Windows उपकरणों पर परिनियोजित किया जा सकता है। आप एसएसटी फ़ाइल से सभी प्रमाणपत्रों को स्थापित करने और उन्हें कंप्यूटर पर विश्वसनीय रूट प्रमाणपत्रों की सूची में जोड़ने के लिए पावरशेल स्क्रिप्ट का उपयोग कर सकते हैं:
$sstStore = ( Get-ChildItem -Path C:\ps\rootsupd\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
certmgr.mscचलाएं स्नैप-इन करें और सुनिश्चित करें कि सभी प्रमाणपत्र विश्वसनीय रूट प्रमाणन प्राधिकरण में जोड़ दिए गए हैं . विंडोज 11 पर मेरे उदाहरण में, रूट प्रमाणपत्रों की संख्या 34 से बढ़कर 438 हो गई।
Windows में सर्टिफिकेट ट्रस्ट लिस्ट (STL)
एक प्रमाणपत्र विश्वास सूची (सीटीएल ) केवल डेटा की एक सूची है (जैसे प्रमाणपत्र हैश) जो एक विश्वसनीय पार्टी (इस मामले में Microsoft द्वारा) द्वारा हस्ताक्षरित है। विंडोज क्लाइंट समय-समय पर इस सीटीएल को विंडोज अपडेट से डाउनलोड करता है, जो सभी विश्वसनीय रूट सीए के हैश को स्टोर करता है। यह समझा जाना चाहिए कि इस सीटीएल में स्वयं प्रमाण पत्र नहीं हैं, केवल उनके हैश और विशेषताएँ (उदाहरण के लिए, दोस्ताना नाम)। विंडोज डिवाइस मांग पर सर्टिफिकेट ट्रस्ट लिस्ट से एक विश्वसनीय सर्टिफिकेट डाउनलोड कर सकते हैं।
आप CTL फ़ाइल को मैन्युअल रूप से डाउनलोड और इंस्टॉल कर सकते हैं। ऐसा करने के लिए, फ़ाइल डाउनलोड करें https://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab (महीने में दो बार अपडेट किया जाता है)। किसी भी संग्रहकर्ता (या यहां तक कि विंडोज एक्सप्लोरर) का उपयोग करके, authrootstl.cab की सामग्री को अनपैक करें। पुरालेख। इसमें एक authroot.stl . शामिल है फ़ाइल।
Authroot.stl फ़ाइल एक कंटेनर है जिसमें प्रमाणपत्र ट्रस्ट सूची प्रारूप में विश्वसनीय प्रमाणपत्र थंबप्रिंट की सूची है।
आप इस CTL फ़ाइल को certutil कमांड का उपयोग करके किसी विश्वसनीय रूट प्रमाणपत्र प्राधिकरण में स्थापित कर सकते हैं:
certutil -enterprise -f -v -AddStore "Root" "C:\PS\authroot.stl"
root "Trusted Root Certification Authorities" CTL 0 added to store. CertUtil: -addstore command completed successfully.
आप प्रमाणपत्र प्रबंधन कंसोल (ट्रस्ट रूट . का उपयोग करके प्रमाणपत्र आयात भी कर सकते हैं प्रमाणन प्राधिकारी -> प्रमाणपत्र -> सभी कार्य -> आयात करें ) प्रमाणपत्र थंबप्रिंट के साथ अपनी एसटीएल फ़ाइल का पथ निर्दिष्ट करें।
आपके द्वारा आदेश चलाने के बाद, विश्वसनीय रूट प्रमाणन प्राधिकरण में एक नया अनुभाग प्रमाणपत्र विश्वास सूची प्रकट होती है प्रमाणपत्र प्रबंधक कंसोल का कंटेनर (certmgr.msc )।
उसी तरह, आप रूट सर्टिफिकेट प्रोग्राम से हटाए गए निरस्त (अस्वीकृत) प्रमाणपत्रों की सूची को डाउनलोड और इंस्टॉल कर सकते हैं। ऐसा करने के लिए, disallowedcertstl.cab . डाउनलोड करें फ़ाइल (https://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab), इसे निकालें, और इसे कमांड के साथ अविश्वसनीय प्रमाणपत्र स्टोर में जोड़ें:
certutil -enterprise -f -v -AddStore disallowed "C:\PS\disallowedcert.stl"
एक अलग वातावरण में GPO के माध्यम से विश्वसनीय रूट प्रमाणपत्र अपडेट करना
यदि आपके पास इंटरनेट-पृथक सक्रिय निर्देशिका डोमेन में रूट प्रमाणपत्रों को नियमित रूप से अपडेट करने का कार्य है, तो समूह नीतियों का उपयोग करके डोमेन से जुड़े कंप्यूटरों पर स्थानीय प्रमाणपत्र स्टोर को अपडेट करने के लिए थोड़ी अधिक जटिल योजना है। आप डिस्कनेक्ट किए गए Windows नेटवर्क में उपयोगकर्ता कंप्यूटर पर रूट प्रमाणपत्र अपडेट को कई तरीकों से कॉन्फ़िगर कर सकते हैं।
पहला तरीका यह मानता है कि आप नियमित रूप से अपने पृथक नेटवर्क पर रूट प्रमाणपत्र वाली फ़ाइल को मैन्युअल रूप से डाउनलोड और कॉपी करते हैं। आप वर्तमान Microsoft रूट प्रमाणपत्र के साथ फ़ाइल को निम्नानुसार डाउनलोड कर सकते हैं:
certutil.exe –generateSSTFromWU roots.sst
फिर इस फ़ाइल से रूट प्रमाणपत्रों को जीपीओ में एससीसीएम या पावरशेल स्टार्टअप स्क्रिप्ट के माध्यम से तैनात किया जा सकता है:
$sstStore = (Get-ChildItem -Path \\fr-dc01\SYSVOL\woshub.com\rootcert\roots.sst )
$sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
दूसरा तरीका कमांड का उपयोग करके वास्तविक Microsoft रूट प्रमाणपत्र डाउनलोड करना है:
Certutil -syncWithWU -f \\fr-dc01\SYSVOL\woshub.com\rootcert\
निर्दिष्ट साझा नेटवर्क फ़ोल्डर में कई रूट प्रमाणपत्र फ़ाइलें (CRT फ़ाइल स्वरूप) दिखाई देंगी (फ़ाइलों authrootstl.cab, disallowedcertstl.cab, disallowedcert.sst, thumbprint.crt सहित)।
फिर रजिस्ट्री पैरामीटर RootDirURL के मान को बदलने के लिए समूह नीति प्राथमिकताओं का उपयोग करें HKLM\Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate के अंतर्गत . यह पैरामीटर साझा नेटवर्क फ़ोल्डर को इंगित करना चाहिए जिससे आपके विंडोज कंप्यूटर को नए रूट प्रमाणपत्र प्राप्त होंगे। डोमेन GPMC.msc कंसोल चलाएँ, एक नया GPO बनाएँ, नीति संपादित करें मोड पर जाएँ, और कंप्यूटर कॉन्फ़िगरेशन -> प्राथमिकताएँ -> Windows सेटिंग्स -> रजिस्ट्री अनुभाग का विस्तार करें। . निम्न सेटिंग्स के साथ एक नया रजिस्ट्री गुण बनाएँ:
- कार्रवाई :अपडेट करें
- हाइव :एचकेएलएम
- मुख्य पथ :Software\Microsoft\SystemCertificates\AuthRoot\AutoUpdate
- मान का नाम :रूटडायरयूआरएल
- टाइप करें :REG_SZ
- मूल्य डेटा :फ़ाइल://\\fr-dc01\SYSVOL\woshub.com\rootcert\
इस नीति को कंप्यूटर के OU पर लिंक करना बाकी है और क्लाइंट पर GPO सेटिंग अपडेट करने के बाद, सर्टस्टोर में नए रूट प्रमाणपत्रों की जांच करें।
GPO पैरामीटर स्वचालित रूट प्रमाणपत्र अपडेट बंद करें कंप्यूटर कॉन्फ़िगरेशन के तहत -> प्रशासनिक टेम्पलेट -> सिस्टम -> इंटरनेट संचार प्रबंधन -> इंटरनेट संचार सेटिंग्स को अक्षम किया जाना चाहिए या कॉन्फ़िगर नहीं किया जाना चाहिए।Windows 7 में विश्वसनीय रूट प्रमाणपत्र कैसे अपडेट करें?
इस तथ्य के बावजूद कि विंडोज 7 अब समर्थन चरण के अंत में है, कई उपयोगकर्ता और कंपनियां अभी भी इसका उपयोग करती हैं।
एक साफ विंडोज 7 छवि स्थापित करने के बाद, आप पा सकते हैं कि कई आधुनिक प्रोग्राम और टूल उस पर काम नहीं करते हैं क्योंकि वे नए प्रमाणपत्रों के साथ हस्ताक्षरित हैं। विशेष रूप से, ऐसी शिकायतें मिली हैं कि .नेट फ्रेमवर्क 4.8 या माइक्रोसॉफ्ट विजुअल स्टूडियो (vs_Community.exe) को रूट सर्टिफिकेट को अपडेट किए बिना विंडोज 7 SP1 x64 पर इंस्टॉल नहीं किया जा सकता है।
The installer manifest failed signature validation.
या
NET Framework has not been installed because a certificate chain could not be built to a trusted root authority.
विंडोज 7 में रूट सर्टिफिकेट को अपडेट करने के लिए आपको सबसे पहले MSU अपडेट को डाउनलोड और इंस्टॉल करना होगा KB2813430 (https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in -विंडोज़-0c51c702-fdcc-f6be-7089-4585fad729d6)
उसके बाद, आप रूट प्रमाणपत्र (वर्तमान या किसी अन्य कंप्यूटर पर) के साथ SST फ़ाइल बनाने के लिए certutil का उपयोग कर सकते हैं:
certutil.exe -generateSSTFromWU c:\ps\roots.sst
अब आप विश्वसनीय प्रमाणपत्रों में प्रमाणपत्र आयात कर सकते हैं:
एमएमसीचलाएं -> स्नैप-इन जोड़ें -> प्रमाणपत्र -> कंप्यूटर खाता> स्थानीय कंप्यूटर। विश्वसनीय रूट प्रमाणीकरण प्राधिकरण पर राइट क्लिक करें, सभी कार्य -> आयात करें, अपनी एसएसटी फ़ाइल ढूंढें (फ़ाइल प्रकार में माइक्रोसॉफ्ट सीरियलाइज्ड सर्टिफिकेट स्टोर - *.sst चुनें। ) -> खोलें -> सभी प्रमाणपत्रों को निम्न स्टोर में रखें -> विश्वसनीय रूट प्रमाणन प्राधिकरण।
Rootsupd.exe टूल का उपयोग करके Windows XP पर रूट प्रमाणपत्र अपडेट करना
Windows XP में, rootsupd.exe उपयोगिता का उपयोग कंप्यूटर के रूट प्रमाणपत्रों को अद्यतन करने के लिए किया गया था। इसमें रूट और निरस्त प्रमाणपत्रों की सूची नियमित रूप से अपडेट की जाती थी। टूल को एक अलग अपडेट के रूप में वितरित किया गया था KB931125 (रूट प्रमाणपत्रों के लिए अद्यतन)। देखते हैं कि क्या हम अभी इसका उपयोग कर सकते हैं।
- rootsupd.exe डाउनलोड करें निम्नलिखित लिंक का उपयोग कर उपयोगिता
https://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe. फिलहाल (जनवरी 2021) लिंक काम नहीं कर रहा है, माइक्रोसॉफ्ट ने इसे जनता से हटाने का फैसला किया है। आज आप कास्परस्की वेबसाइट से rootupd.exe डाउनलोड कर सकते हैं - https://media.kaspersky.com/utilities/CorporateUtilities/rootsupd.zip; - Windows रूट प्रमाणपत्र स्थापित करने के लिए, बस rootsupd.exe चलाएं फ़ाइल। लेकिन हम इसकी सामग्री की अधिक सावधानी से जांच करने का प्रयास करेंगे। कमांड के साथ निष्पादन योग्य फ़ाइल से प्रमाणपत्र निकालें:
rootsupd.exe /c /t: C:\PS\rootsupd
- प्रमाणपत्र SST फ़ाइलों में संग्रहीत होते हैं, जैसे authroots.sst, delroot.sst, आदि। प्रमाणपत्रों को निकालने या स्थापित करने के लिए, आप निम्न आदेशों का उपयोग कर सकते हैं:
updroots.exe authroots.sst
updroots.exe -d delroots.sst
हालांकि , जैसा कि आप देख सकते हैं, ये प्रमाणपत्र फ़ाइलें 4 अप्रैल, 2013 (Windows XP के लिए आधिकारिक समर्थन की समाप्ति से लगभग एक वर्ष पहले) को बनाई गई थीं। इस प्रकार, तब से इस टूल को अपडेट नहीं किया गया है और इसका उपयोग अप-टू-डेट प्रमाणपत्र स्थापित करने के लिए नहीं किया जा सकता है।
लेकिन आप root.sst डाउनलोड करने के लिए Windows 10/11 में cerutil टूल का उपयोग कर सकते हैं, उस फ़ाइल को Windows XP में कॉपी कर सकते हैं और updroots.exe का उपयोग करके प्रमाणपत्र स्थापित कर सकते हैं:
updroots.exe c:\temp\roots.sst
इस लेख में, हमने विंडोज नेटवर्क कंप्यूटर पर विश्वसनीय रूट प्रमाणपत्रों को अपडेट करने के कई तरीकों पर ध्यान दिया, जो इंटरनेट से अलग (डिस्कनेक्टेड वातावरण) हैं।