Une mise à jour permet aux administrateurs d'actualiser les listes de certificats de confiance approuvées et non approuvées dans les environnements déconnectés sous Windows.

S’applique à : Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit Edition

Résumé


Cette mise à jour logicielle offre les améliorations suivantes pour Windows :
  • Permet aux administrateurs de configurer des ordinateurs appartenant à un domaine afin qu'ils utilisent la fonctionnalité de mise à jour automatique pour les listes de certificats de confiance approuvées et non approuvées. Les ordinateurs peuvent exploiter la fonctionnalité de mise à jour automatique sans accéder au site Windows Update.
  • Permet aux administrateurs de configurer les ordinateurs appartenant à un domaine pour qu'ils sélectionnent de façon indépendante des listes de certificats de confiance approuvées et non approuvées au moyen de la fonctionnalité de mise à jour automatique.

  • Permet aux administrateurs d'examiner l'ensemble des autorités de certification racines dans le programme de certificat racine Microsoft.
Pour plus d'informations sur ces changements et améliorations, reportez-vous à la page Web Microsoft suivante :

Connaissances requises


Le présent article de la Base de connaissances Microsoft est destiné aux administrateurs d'infrastructure à clé publique (PKI) qui disposent de connaissances de base concernant les stratégies de groupe, les mises à jour de certificats racines tiers, ainsi que les listes et certificats non approuvés. Il s'adresse également aux administrateurs d'infrastructure PKI qui peuvent modifier des fichiers ADM/ADMX simples afin de déployer des stratégies au moyen de l'utilitaire Mise à jour de stratégie de groupe. Pour plus d'informations sur l'utilisation des fichiers ADMX, consultez le document Managing Group Policy ADMX Files Step-by-Step Guide.

Contexte


Le programme de certificat racine Windows permet de distribuer automatiquement des certificats racines approuvés sous Windows. Pour plus d'informations sur la liste des membres du programme de certificat racine Windows, accédez au site Web de Microsoft à l'adresse suivante :
Les certificats racines approuvés peuvent être distribués au moyen de la méthode suivante :


  • Les clients peuvent télécharger ou mettre à jour les certificats racines approuvés en utilisant le mécanisme de mise à jour automatique. Ces certificats sont stockés sous la forme d'une liste de certificats de confiance approuvée sur les serveurs Windows Update.
Pour plus d'informations sur la distribution des certificats racines, accédez au site Web de Microsoft à l'adresse suivante :
Les certificats racines non approuvés (qui sont publiquement connus comme étant frauduleux) peuvent être distribués au moyen de la méthode suivante :


  • Les clients peuvent télécharger ou mettre à jour les certificats racines non approuvés en utilisant le mécanisme de mise à jour automatique. Ces certificats sont stockés sous la forme d'une liste de certificats de confiance non approuvée sur les serveurs Windows Update. Pour plus d'informations sur le téléchargement automatique des certificats racines non approuvés, accédez au site Web de Microsoft à l'adresse suivante :
Remarque Le mécanisme de mise à jour automatique est identique pour les certificats racines approuvés et non approuvés. Vous pouvez le désactiver pour les deux types de certificats en utilisant le même paramètre de Registre. Pour plus d'informations, consultez la section Contrôle de la fonctionnalité de mise à jour des certificats racines pour empêcher le flux d'informations vers et depuis Internet.

Si vous gérez votre propre ensemble de certificats racines approuvés, vous devez désactiver le mécanisme de mise à jour automatique pour la liste de certificats de confiance approuvée.

Problèmes connus


Avant l'installation de cette mise à jour logicielle, vous pouvez rencontrer l'un des problèmes suivants lorsque vous gérez les certificats :
  • Pour mettre à jour les certificats racines approuvés ou non approuvés dans un environnement déconnecté, vous devez utiliser les packages IEXPRESS décrits dans la section « Contexte » du présent article de la Base de connaissances. Toutefois, vous devez installer manuellement les packages IEXPRESS. Par ailleurs, même si nous veillons à ce que la mise à disposition des packages et la distribution des listes de certificats de confiance aient lieu en même temps, un décalage peut être observé avec les packages IEXPRESS.

    Remarque Un environnement déconnecté remplit les conditions suivantes :
    • L'accès direct à Windows Update est bloqué.
    • Le mécanisme de mise à jour automatique est désactivé pour les listes de certificats de confiance approuvées et non approuvées.
  • Vous ne pouvez pas désactiver le mécanisme de mise à jour automatique séparément pour les listes de certificats de confiance approuvées et non approuvées. Plus précisément, ce mécanisme ne peut être désactivé que pour les deux types de listes.

    Remarque Nous recommandons aux administrateurs qui gèrent leur propre liste de certificats racines approuvés de désactiver le service de mise à jour automatique pour les listes de certificats de confiance approuvées. Toutefois, nous ne leur conseillons pas de désactiver ce service pour les listes de certificats de confiance non approuvées.
  • Aucun mécanisme ne permet aux utilisateurs qui gèrent leur propre liste de certificats racines approuvés de visualiser facilement les certificats ans le programme racine et d'identifier les certificats à approuver.

Résolution


Cette nouvelle mise à jour logicielle inclut les correctifs ci-dessous qui résolvent les problèmes décrits dans la section « Description des problèmes » du présent article de la Base de connaissances.
  • Cette mise à jour logicielle ajoute les fonctionnalités suivantes dans Windows de sorte que vous puissiez utiliser le mécanisme de mise à jour automatique dans les environnements déconnectés :
    1. Un nouveau paramètre de Registre : Le paramètre de Registre vous permet de modifier l'URL de téléchargement des listes de certificats de confiance approuvées et non approuvées à partir de Windows Update vers un emplacement partagé de votre organisation. Les schémas FILE et HTTP sont pris en charge dans ce paramètre de Registre. Pour plus d'informations sur ce paramètre de Registre, consultez la section Clés de Registre du présent article de la Base de connaissances.

      Remarque Si vous redéfinissez l'URL sur un dossier partagé local, vous devez synchroniser ce dernier avec avec le dossier Windows Update.
    2. Un nouveau groupe d'options ajouté à l'outil Certutil : Ces options vous fournissent des méthodes supplémentaires pour synchroniser les dossiers. Pour plus d'informations sur ces options, reportez-vous à la section Nouveaux verbes ajoutés à Certutil du présent article de la Base de connaissances.
  • Cette mise à jour logicielle permet de découpler le mécanisme de mise à jour automatique de sorte qu'il s'applique séparément aux listes de certificats de confiance approuvées et non approuvées. Par exemple, après avoir appliqué la mise à jour, vous pouvez utiliser une clé de Registre pour désactiver le mécanisme de mise à jour automatique uniquement pour les certificats racines approuvés. Pour plus d'informations sur les clés de Registre, consultez la section Clés de Registre du présent article de la Base de connaissances.
  • Cette mise à jour logicielle introduit un nouvel outil permettant aux administrateurs de visualiser les certificats racines approuvés dans le programme de certificat racine Microsoft. Cet outil est destiné aux administrateurs qui gèrent les certificats racines approuvés pour un environnement d'entreprise. Un administrateur peut l'utiliser pour sélectionner les certificats racines approuvés, les exporter dans un magasin de certificats sérialisé, puis les distribuer à l'aide d'une stratégie de groupe. Pour plus d'informations, consultez la section Nouveaux verbes ajoutés à Certutil du présent article de la Base de connaissances.

Informations sur la mise à jour

Vous pouvez télécharger les fichiers suivants à partir du Centre de téléchargement Microsoft :


Pour toutes les versions x86 prises en charge de Windows Vista

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x64 prises en charge de Windows Vista

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x86 prises en charge de Windows Server 2008

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x64 prises en charge de Windows Server 2008

Téléchargement Télécharger le package maintenant.

Pour toutes les versions IA-64 prises en charge de Windows Server 2008

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x86 prises en charge de Windows 7

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x64 prises en charge de Windows 7

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x86 prises en charge de Windows Embedded Standard 7

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x64 prises en charge de Windows Embedded Standard 7 pour les systèmes x64

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x64 prises en charge de Windows Server 2008 R2

Téléchargement Télécharger le package maintenant.

Pour toutes les versions IA-64 prises en charge de Windows Server 2008 R2

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x86 prises en charge de Windows 8

Téléchargement Télécharger le package maintenant.

Pour toutes les versions x64 prises en charge de Windows 8

Téléchargement Télécharger le package maintenant.

Pour toutes les versions prises en charge de Windows Server 2012

Téléchargement Télécharger le package maintenant.
Date de publication : 11.06.11

Pour plus d'informations sur la façon de télécharger des fichiers du support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
119591 Comment faire pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a soumis ce fichier à une analyse antivirus. Microsoft a utilisé les logiciels de détection de virus les plus récents qui étaient disponibles à la date de publication de ce fichier. Le fichier est stocké sur des serveurs sécurisés empêchant toute modification non autorisée.

Nécessité d'un redémarrage

Vous devez redémarrer l'ordinateur après l'application de ce correctif logiciel.

Informations sur le remplacement de correctif logiciel

Ce correctif logiciel remplace le correctif logiciel 2661254.



Informations sur les fichiers

La version internationale de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Les date et heure de ces fichiers s'affichent sur votre ordinateur selon l'heure locale et en tenant compte de l'heure d'été. Par ailleurs, ces date et heure peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.

Références techniques relatives aux modifications


Nouveaux verbes de Certutil

SyncWithWU
Ce verbe permet de synchroniser un répertoire de destination avec le site Windows Update. La syntaxe du verbe est la suivante :
CertUtil [Options] -syncWithWU  Rép_Destination 

Remarque Rép_Destination correspond au dossier dans lequel les fichiers sont copiés. Lorsque vous exécutez la commande, les fichiers suivants sont téléchargés à partir de Windows Update :
  • Authrootstl.cab : Contient la liste des certificats de confiance racines tiers.
  • Disallowedcertstl.cab : Contient la liste des certificats de confiance non approuvés.
  • Disallowedcert.sst : Contient les certificats non approuvés.
  • Thumbprint.crt : Certificats racines tiers.
Par exemple, vous pouvez synchroniser un répertoire de destination avec le site Windows Update en exécutant la commande suivante :
CertUtil -syncWithWU \\nom_ordinateur\nom_partage\Rép_Destination 
GenerateSSTFromWU
Ce verbe permet de générer des fichiers .sst à partir du site Windows Update La syntaxe du verbe est la suivante :
CertUtil [Options] -generateSSTFromWU FichierSST 
Remarque FichierSST correspond au nom du fichier .sst créé. Le fichier .sst généré contient les certificats racines tiers qui sont téléchargés à partir de Windows Update.

Par exemple, vous pouvez générer des fichiers .sst à partir du site Windows Update en exécutant la commande suivante :
CertUtil –generateSSTFromWU Rootstore.sst 

Clés de Registre

Les clés de Registre suivantes sont introduites dans cette mise à jour :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate Définissez cette clé de Registre sur 1 afin de désactiver les mises à jour automatiques pour les listes de certificats de confiance approuvées.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateDéfinissez le Registre sur 1 afin d'activer les mises à jour automatiques pour les listes de certificats de confiance non approuvées.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlCette clé de Registre configure les chemins d'accès de partage pour l'extraction des listes de certificats de confiance.