不受信任证书的自动更新程序可用于 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2

简介

不受信任证书的自动更新程序可用于 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2。此更新扩展了位于 Windows Vista 和 Windows 7 中的现有自动根更新机制技术，可让已泄露或某种程度上不受信任的证书被专门标记为不受信任。

证书信任列表 (CTL) 是由受信任实体签署的项目的预定义列表。列表中的所有项目都由受信任的签署实体验证和批准。通过使用包含其公钥或签名哈希的 CTL 将已知的不受信任证书添加到不可信证书存储区，此更新扩展了现有的功能。安装此更新后，客户可实现不受信任的证书的快速更新。

系统断开连接的用户将不会受益于此功能改进。这些客户在连接可用时仍然要安装根证书更新。请参阅“详细信息”部分。


作为此更新的一部分，用于联系 Windows Update 下载不受信任和受信任的 CTL 已更改。对于将这些网址在防火墙中硬编码为异常的企业，此操作可导致出现问题。

以下为新网址：

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

更多信息

断开系统连接的用户可以安装此更新。但这些用户不会受益于更新。实际上，安装此更新可能会导致重新启动服务器后立即出现服务启动故障。尝试 Windows 更新受信任和不受信任的 CTL 网络检索时，在服务启动期间执行证书验证任务的服务可能会遇到更长时间的延迟。

如果系统运行 Windows Vista、Windows 7、Windows Server 2008 或 Windows Server 2008 R2 且使用不受信任证书的自动更新（即，如果已安装 KB 2677070 或 KB 2813430），请参阅本节的剩余内容以及 Microsoft 知识库文章 2813430，了解更多信息。由于这些系统受到自动保护，因此客户不必采取任何措施。

如果系统不能访问 Windows 更新，无论是因为系统没有连接到 Internet 还是 Windows 更新已被防火墙规则阻止，在服务可继续启动过程之前，网络检索都将超时。在某些情况下，此网络检索超时可能会超过 30 秒的服务启动超时。如果 30 秒后服务无法报告启动已完成，则服务控制管理器 (SCM) 将停止服务。

如果你无法避免在断开连接的系统上安装此更新，则可以禁用受信任和不信任的 CTL 网络检索。为此，可使用“组策略”设置禁用自动根更新。若要使用策略设置禁用自动根更新，请按照下列步骤操作：

1. 在本地组策略编辑器中创建一个组策略或更改现有组策略。

2. 在本地组策略编辑器中，双击“计算机配置”节点下的“策略”。

3. 双击“Windows 设置”，双击“安全设置”，然后双击“公钥策略”。

4. 在详细窗格中，双击“证书路径验证设置”。

5. 单击“网络检索”选项卡，选择“定义这些策略设置”，然后取消选中“自动更新 Microsoft 根证书程序中的证书(推荐)”复选框。

6. 单击“确定”，然后关闭本地组策略编辑器。

完成此更改后，已在这些应用策略的系统上禁用自动根更新。我们建议你仅将策略应用于不能访问 Internet 的系统或由于防火墙规则访问 Windows 更新受阻的系统。

如果已禁用自动根更新，则管理员必须手动管理受 Windows 信任的根证书。可通过使用“组策略”将受信任的根证书分发给运行 Windows 的计算机。有关如何管理受 Windows 信任的根证书的详细信息，请访问以下 Microsoft 网站：

http://technet.microsoft.com/zh-cn/library/cc754841.aspx有关 Windows 证书信任验证的详细信息，请转到以下 Microsoft 网页：

证书信任验证

证书信任列表概览有关 Windows 根证书程序的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

931125Windows 根证书计划成员

下载信息

可以从 Microsoft 下载中心下载以下文件。

文件信息

有关此更新中提供的文件列表，请下载更新 2677070 的文件信息。