Cómo obtener una actualización de certificados raíz de Windows

El paquete 931125 KB que se registró en Windows Update y WSUS el 11 de diciembre de 2012, se diseñó sólo para las SKU cliente. Sin embargo, el paquete también se ofrece para la SKU de servidor. Porque algunos clientes informado de problemas una vez que instalado el paquete en los servidores, las actualizaciones de 931125 KB de SKU de servidor se han caducado desde Windows Update y WSUS. Le recomendamos que sincronice su servidor WSUS y aprobar la expiración.

Si ya ha aplicado la actualización en un servidor y está encontrando problemas, debe utilizar la solución de repararlo en el siguiente artículo en Microsoft Knowledge Base:
Problemas de comunicación con SSL/TLS 2801679 después de instalar 931125 KB

Introducción

Este artículo contiene un vínculo de descarga a una lista de las entidades de certificación de terceros (CAs) que son de confianza de Microsoft y cuyos certificados raíz se distribuyen a través del programa de certificados raíz de Microsoft. Este artículo contiene información acerca de los diferentes tipos de actualización de certificados raíz de Windows.

Solución

El paquete de actualización de raíz actualizará la lista de certificados de raíz en los equipos de los usuarios a la lista que Microsoft acepte como parte del programa de certificados raíz de Windows. El archivo se actualiza periódicamente para agregar o quitar certificados raíz o entidades emisoras de certificados de distribución por el programa. Puede obtener el paquete de actualización de raíz a través de los métodos siguientes:

Centro de descarga de Microsoft (sólo Windows XP)

La actualización está disponible para su descarga desde Microsoft Download Center:

Actualización de certificados raíz para Windows XP-noviembre de 2013 (KB931125)

Important Importante: Puede que deba pasar el proceso de validación de Software original de Microsoft para descargar el paquete.

Catálogo de Microsoft Update (todas las versiones de Windows)

El paquete de actualización de raíz estará disponible a través del Catálogo de Microsoft Update. Allí, los usuarios pueden buscar y descargar de forma independiente el paquete de actualización. Puede buscar el artículo de Microsoft Knowledge Base, "KB931125," o de "actualización de certificados raíz" y, a continuación, descargue el paquete de actualización de certificados raíz más reciente.

http://catalog.update.microsoft.com/v7/site/Search.aspx?q=root%20certificate%20update

El paquete de actualización de raíz está disponible para las siguientes versiones compatibles de Windows en las arquitecturas x 86 y x 64:
ArquitecturaTítulo
x86Actualización de certificados raíz para Windows XP-noviembre de 2013 (KB931125)
x64Actualización de certificados raíz para Windows XP x 64 Edition-noviembre de 2013 (KB931125)
x86Actualización de certificados raíz para Windows Vista-noviembre de 2013 (KB931125)
x64Actualización de certificados raíz para Windows Vista para sistemas basados en x 64-noviembre de 2013 (KB931125)
x86Actualización de certificados raíz para Windows 7-noviembre de 2013 (KB931125)
x64Actualización de certificados raíz para Windows 7 para sistemas basados en x 64-noviembre de 2013 (KB931125)
x86Actualización de certificados raíz para Windows 8-noviembre de 2013 (KB931125)
x64Actualización de certificados raíz para Windows 8 para sistemas basados en x 64-noviembre de 2013 (KB931125)
x86Actualización de certificados raíz para Windows 8.1-noviembre de 2013 (KB931125)
x64Actualización de certificados raíz para Windows 8.1 para sistemas basados en x 64-noviembre de 2013 (KB931125)
Note Nota: Paquetes de actualización de raíz son acumulativos. Por lo tanto, sólo debe instalar el paquete más reciente para recibir todos los certificados raíz en el programa.

Para obtener más información acerca de cómo identificar los sistemas operativos de 32 bits y 64 bits, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827218 cómo determinar si su equipo está ejecutando una versión de 32 bits o una versión de 64 bits del sistema operativo Windows

Windows Software Update Services (WSUS)

El paquete de actualización de raíz también está disponible para su descarga desde Windows Server Update Services (WSUS). WSUS permite a los administradores de tecnología de información implementar las últimas actualizaciones de productos de Microsoft en equipos que ejecutan el sistema operativo Windows. Mediante WSUS, los administradores pueden administrar completamente la distribución de actualizaciones que se publican a través de Microsoft Update en los equipos de su red.

Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
919772 cómo habilitar el servidor de Microsoft Windows Server Update Services (WSUS) distribuir las actualizaciones de Windows

Más información

Información de actualización del programa de certificados raíz de Windows

Entidades emisoras de certificados raíz - Microsoft mantiene una lista de certificados raíz que se distribuyen por el programa de certificados raíz de Windows en el sitio Web del programa.
Para obtener más información acerca de entidades emisoras de certificados que son miembros del programa, visite el siguiente sitio Web:
http://go.microsoft.com/fwlink/?LinkID=269988

Requisitos del programa de certificados raíz - para obtener una lista de todos los actuales generales y técnicas requisitos del programa de certificados raíz de Windows, vaya al sitio Web de Microsoft TechNet siguiente:
http://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx

Certificados de validación extendida (EV SSL) : para obtener más información sobre la compatibilidad de los certificados de validación Extendida en Internet Explorer 7 y versiones posteriores, vaya a la siguiente página Web:
http://www.microsoft.com/windows/products/winfamily/ie/ev/default.mspx

Cómo Windows actualiza los certificados raíz

Microsoft ha introducido nuevos mecanismos de actualización de raíz en diferentes versiones de Microsoft Windows. Estos mecanismos progresivamente se han centrado en distribuir certificados raíz de menos, pero en realizar las distribuciones tan transparente como sea posible cuando se requiere de un certificado raíz y se distribuye a través del programa de certificados raíz de Windows. Para comprender la diferencia en los mecanismos de actualización de raíz, es más conveniente dividir las versiones de Windows en dos categorías:
  • Versiones del sistema operativo que admiten actualizaciones raíz automáticas de certificados raíz individuales
  • Versiones del sistema operativo que se basan en un paquete de actualización de raíz anterior, opcional (un paquete que contiene todos los certificados raíz actualmente distribuida)
En las SKU cliente de Windows, Windows Vista y versiones posteriores admiten totalmente el mecanismo de actualización automática de raíz. Windows XP admite sólo parcialmente el mecanismo de actualización automática de raíz. (Consulte la sección "Windows XP" para obtener más información). Se recomienda que las versiones de Windows anteriores a Windows Vista descarguen el paquete raíz opcional que contiene todos los certificados raíz actualmente distribuida.
Windows Vista y Windows 7
Los certificados raíz en Windows Vista y versiones posteriores se distribuyen a través del mecanismo de actualización automática de raíz. Es decir, se distribuyen a través del certificado raíz. Cuando un usuario va a una página Web (mediante HTTPS SSL), lee un mensaje de correo electrónico seguro (S/MIME) o descarga un control ActiveX firmado (firma de código) y, a continuación, encuentra un nuevo certificado de raíz, el software de comprobación de cadena de certificados de Windows comprueba el certificado raíz de Microsoft Update. Si el software encuentra el certificado raíz, el software de descarga el actual certificado lista confianza (CTL). La CTL contiene la lista de todos los certificados raíz de confianza en el programa y verifica que el certificado raíz se muestra aquí. A continuación, descarga el certificado raíz especificado en el sistema y se instala el certificado en el almacén de autoridades de certificación de raíz de confianza de Windows. Si no se encuentra el certificado raíz, la cadena de certificados no se completa y el sistema devuelve un error.

Para el usuario, una actualización exitosa de raíz es transparente. El usuario no ve los cuadros de diálogo de seguridad y advertencias. La descarga se realiza automáticamente. Además, para Windows Vista y versiones posteriores, SKU cliente admiten semanalmente preselección de Microsoft Update para comprobar las propiedades del certificado raíz actualizado (por ejemplo, validación extendida (EV), firma de código o las propiedades de autenticación de servidor [es decir, las propiedades de certificado que se agregan a un certificado raíz]).

Para obtener información técnica detallada acerca de cómo Windows actualiza certificados raíz en Windows Vista y en versiones posteriores, consulte el siguiente sitio Web:
Windows XP
Windows XP no es totalmente compatible con el mecanismo de actualización automática de raíz. Cuando un certificado raíz ya está presente en el sistema del usuario, no se actualizará incluso si ha cambiado la copia del certificado raíz disponible en Microsoft Update. Windows XP tampoco admite la preselección semanal de las propiedades de certificado de la característica de Microsoft Update, y la única manera de instalar nuevas propiedades de certificado de raíz en Windows XP es instalar el paquete de actualización de raíz.

Se recomienda que los usuarios que ejecutan Windows XP descargar e instalación el paquete de actualización de raíz para actualizar sus certificados raíz. Certificados raíz se entregan para Windows XP a través de Microsoft Update como un paquete opcional de raíz: un ejecutable que contiene todos los certificados raíz que se distribuyen por el programa de certificados raíz de Windows. Los usuarios de Windows XP pueden optar por descargar el paquete cada vez que se actualiza y presentado por Microsoft Update. O pueden optar por descargar los paquetes de actualización de raíz automáticamente cuando se actualizan. El paquete de actualización de raíz opcional se actualiza aproximadamente tres o cuatro veces al año o cada trimestre.

Para obtener información técnica detallada acerca de cómo Windows actualiza certificados raíz en Windows XP SP2 y SP3, consulte el siguiente sitio Web
Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2
El mecanismo de actualización automática de raíz está habilitado en Windows Server 2008 y versiones posteriores, pero no en Windows Server 2003. Windows Server 2003 admite sólo parcialmente el mecanismo de actualización automática de raíz. (Esto es lo mismo que la compatibilidad en Windows XP). Y dado que el paquete de actualización de raíz está diseñado para Windows XP SKU de sólo cliente, no está pensado para la SKU de Windows Server. Sin embargo, el paquete de actualización de la raíz puede ser descargado e instalado en SKU de Windows Server, sujeta a las siguientes restricciones.

Si instala el paquete de actualización de raíz en el SKU de Windows Server, puede superar el límite de cuántos certificados raíz que Schannel puede controlar al informar de la lista de raíces a los clientes en un protocolo de enlace TLS o SSL, como el número de certificados de raíz en el paquete de actualización de raíz supera dicho límite. Cuando la actualización de certificados raíz, la lista de entidades emisoras de confianza crece significativamente y puede llegar a ser demasiado larga. La lista se trunca a continuación y puede causar problemas con autorización. Este comportamiento también puede provocar el ID de evento Schannel 36885. En Windows Server 2003, la lista de emisores no puede ser mayor que 0 x 3000. Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

933430 los clientes no pueden realizar conexiones si requiere certificados de cliente en una página Web o si utiliza IAS en Windows Server 2003.

Nota: Estas limitaciones se aplican únicamente si tienes autenticación de cliente SSL habilitada en Windows Server.
Instalación del paquete de actualización de raíz en entornos desconectados
Se recomienda que los sistemas que ejecutan las SKU de servidor o cliente de Windows en entornos desconectados (por ejemplo, que el mecanismo de actualización automática de raíz no funciona porque no hay conectividad con Microsoft Update) deben instalar el paquete de actualización de raíz. El paquete de actualización de raíz se instalará en Windows Vista y Windows 7 como solución en entornos desconectados. Sin embargo, se recomienda que los sistemas que tienen conectividad de red con Microsoft Update instalar el paquete de actualización de raíz, ya que el mecanismo de actualización automática de raíz funcionará para ellos.

Puede utilizar Directiva de grupo para distribuir certificados raíz a un grupo de servidores en un entorno desconectado. Instrucciones acerca de cómo instalar certificados raíz mediante Directiva de grupo están disponibles en los sitios Web siguientes:

Windows Server 2003: http://technet.microsoft.com/en-us/library/cc738131(WS.10).aspx

Windows Server 2008: http://technet.microsoft.com/en-us/library/cc772491.aspx

Windows Vista incluye un conjunto de certificados raíz de terceros de confianza en el archivo de recursos Crypt32.dll para que estos certificados pueden utilizarse como un recurso de reserva cuando no hay conectividad a Windows Update. Cuando se desencadena la actualización automática de raíz, intenta descargar el certificado raíz de terceros de confianza de la red. En un entorno sin conexión, se produce un error en la recuperación de red y CAPI comprueba los recursos en Crypt32.dll para el certificado raíz. Si está presente la raíz, se utiliza y se instala en el almacén raíz. Windows 7 tiene un comportamiento similar.

Si está deshabilitada la actualización automática de raíz, se realiza ningún intento para recuperar la raíz. Por lo tanto, las raíces no están instaladas. Tenga en cuenta que los recursos en Crypt32.dll incluyen sólo aquellos certificados que estaban presentes en el sistema raíz en un momento antes de la versión del sistema operativo. Los certificados raíz que se han agregado más adelante no están presentes en el recurso, y tales certificados sólo están disponibles mediante el paquete de actualización de raíz.

Sincronizar la lista de confianza de certificados raíz de confianza

Ahora hay una solución fácil corrección de Microsoft para obligar al sistema a volver a sincronizar la confianza raíz certificado lista de confianza (CLT).

Aquí tiene una solución fácil

Para volver a sincronizar la CTL de raíz de confianza, haga clic en el botón Descargar . En el cuadro de diálogo Descarga de archivos , haga clic en Abriro Ejecutar y, a continuación, siga los pasos en el Asistente para la solución fácil.
  • Este asistente puede estar solo en inglés. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no está en el equipo que tiene el problema, guarde la solución de solución fácil en un CD o una unidad flash y, a continuación, ejecútela en el equipo que tiene el problema.
Para Windows 8.1, Windows 8, Windows 7, Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2


Para Windows Vista, Windows Server 2008 o Windows Server 2003


Nota: Este fácil solucionar solución elimina la carpeta certificados y todo su contenido se y también se elimina la clave del registro LastSyncTime . Son acciones seguras sobre el equipo, ya que son para una caché que se genera a medida que explora requiere estos certificados.



Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.
Propiedades

Id. de artículo: 931125 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios