现在推出一个更新,此更新使管理员能够在断开连接的 Windows 环境中更新可信和不允许的 CTL

适用于: Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit edition

概要


此软件更新提供下列 Windows 改进:
  • 使管理员能够将加入域的计算机配置为对可信和不允许的证书信任列表 (CTL) 使用自动更新功能。计算机可以在不访问 Windows Update 站点的情况下使用自动更新功能。
  • 使管理员能够将加入域的计算机配置为通过使用自动更新功能来独立选择可信和不允许的 CTL。

  • 使管理员能够在 Microsoft 根证书计划中检查根证书颁发机构 (CA) 集。
有关这些更改和改进的详细信息,请转到以下 Microsoft 网页:

预备知识


本知识库文章面向具有组策略、第三方根更新、不可信证书和不允许的列表基本知识的公钥基础结构 (PKI) 管理员。本知识库文章还面向能够编辑简单 ADM/ADMX 文件以使用组策略更新实用程序部署策略的 PKI 管理员。有关如何使用 ADMX 文件的详细信息,请参阅管理组策略 ADMX 文件分步指南

背景


Windows 根证书计划允许在 Windows 中自动分发可信根证书。有关 Windows 根证书计划中的成员列表的信息,请转到下列 Microsoft 网站:
可以使用下列方法分发可信根证书:


  • 客户端可以使用自动更新机制下载或更新可信根证书。可信根证书列表存储在 Windows Update 服务器上的证书信任列表(可信 CTL)中。
有关如何分发根证书的详细信息,请转到下列 Microsoft 网站:
可以使用下列方法分发不可信根证书(公认具有欺骗性的证书):


  • 客户端可以使用自动更新机制下载或更新不可信根证书。不可信根证书列表存储在 Windows Update 服务器上的 CTL(不可信 CTL)中。有关自动下载不可信根证书的详细信息,请转到下列 Microsoft 网站:
注意 可信和不可信根证书的自动更新机制是相同的。您可以使用相同的注册表设置来禁用这两种证书的自动更新机制。有关详细信息,请参见 Controlling the Update Root Certificates Feature to Prevent the Flow of Information to and from the Internet(控制更新根证书功能以阻止传向和来自 Internet 的信息流)。

如果您管理自己的可信根证书集,则应当禁用可信 CTL 的自动更新机制。

已知问题


安装此软件更新之前,在管理证书时您可能遇到下列问题之一:
  • 要在断开连接的环境中更新可信或不可信根证书,您必须使用本知识库文章的“背景”部分所述的 IEXPRESS 包。不过,您必须手动安装 IEXPRESS 包。另外,虽然我们尝试在 CTL 分发同时提供这些包,但是 IEXPRESS 包可能发生一些延迟。

    注意 断开连接的环境是符合下列条件的环境:
    • 阻止直接访问 Windows Update。
    • 禁用可信和不可信 CTL 的自动更新机制。
  • 您不能单独禁用可信和不可信 CTL 的自动更新机制。具体而言,您只能同时禁用可信和不可信 CTL 的自动更新机制。

    注意 我们建议管理其自己的可信根证书列表的管理员禁用可信 CTL 的自动更新服务。不过,我们不建议管理员禁用不可信 CTL 的自动更新服务。
  • 没有机制能让管理其自己的可信根证书列表的用户在根计划中轻松查看根证书和决定哪个证书可信。

解决方案


此新软件更新包括下列修补程序,可解决本知识库文章“问题描述”部分中所述的问题。
  • 此软件更新在 Windows 中添加下列功能以使您能够在断开连接的环境中使用自动更新机制:
    1. 新注册表设置:注册表设置使您能够将下载可信和不可信 CTL 的 URL 位置从 Windows Update 更改为组织中的共享位置。此注册表设置同时支持 FILE 和 HTTP 架构。有关此注册表设置的详细信息,请参见本知识库文章中的注册表项部分。

      注意 如果您将 URL 位置更改为本地共享文件夹,则必须将该本地共享文件夹与 Windows Update 文件夹同步。
    2. Certutil 工具中的新选项集:这些选项为您提供了更多的同步文件夹方法。有关这些选项的详细信息,请参见本知识库文章中的 Certutil 中的新动词部分。
  • 此软件更新将可信和不可信 CTL 的自动更新机制分离。例如,在您应用更新之后,可以使用注册表项仅禁用可信根证书的自动更新机制。有关注册表项的详细信息,请参见本知识库文章中的注册表项部分。
  • 此软件更新引入一种新工具,管理员可用来在 Microsoft 根证书计划中查看可信根证书集。此工具面向管理企业环境的可信根证书集的管理员。管理员可以使用此工具选择可信根证书集,将它们导出到序列化证书存储,并使用组策略分发它们。有关详细信息,请参见本知识库文章中的 Certutil 中的新动词部分。

更新信息

可以从 Microsoft 下载中心下载以下文件:


对于所有受支持的基于 x86 的 Windows Vista 版本

下载 立即下载此软件包。

对于所有受支持的基于 x64 的 Windows Vista 版本

下载 立即下载此软件包。

对于所有受支持的基于 x86 的 Windows Server 2008 版本

下载 立即下载此软件包。

对于所有受支持的基于 x64 的 Windows Server 2008 版本

下载 立即下载此软件包。

对于所有受支持的基于 IA-64 的 Windows Server 2008 版本

下载 立即下载此软件包。

对于所有受支持的基于 x86 的 Windows 7 版本

下载 立即下载此软件包。

对于所有受支持的基于 x64 的 Windows 7 版本

下载 立即下载此软件包。

对于所有受支持的基于 x86 的 Windows Embedded Standard 7 版本

下载 立即下载此软件包。

对于所有受支持的基于 x64 的 Windows Embedded Standard 7(基于 x64 的系统)版本

下载 立即下载此软件包。

对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本

下载 立即下载此软件包。

对于所有受支持的基于 IA-64 的 Windows Server 2008 R2 版本

下载 立即下载此软件包。

对于所有受支持的基于 x86 的 Windows 8 版本

下载 立即下载此软件包。

对于所有受支持的基于 x64 的 Windows 8 版本

下载 立即下载此软件包。

对于所有受支持的 Windows Server 2012 版本

下载 立即下载此软件包。
发布日期:2011 年 6 月 11 日

有关如何下载 Microsoft 支持文件的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获得 Microsoft 支持文件
Microsoft 已对此文件进行过病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

重新启动要求

应用此修补程序后,必须重新启动计算机。

修补程序替换信息

此修补程序将替换修补程序 2661254



文件信息

此修补程序的全球版本将安装具有下表所列属性的文件。这些文件的日期和时间使用协调世界时 (UTC) 列出。这些文件在您的本地计算机上显示的日期和时间是您的本地时间再加上当前夏令时 (DST) 偏差。此外,如果对这些文件执行某些操作,日期和时间可能会更改。

更改的技术参考


Certutil 中的新动词

SyncWithWU
该动词用于将目标目录与 Windows 更新站点同步。下面是该动词的语法:
CertUtil [Options] -syncWithWU  DestinationDir 

注意 DestinationDir 是文件复制到的文件夹。当您运行该命令时,从 Windows Update 下载下列文件:
  • Authrootstl.cab:包含第三方根证书的 CTL。
  • Disallowedcertstl.cab:包含不允许的证书的 CTL。
  • Disallowedcert.sst:包含不允许的证书。
  • Thumbprint.crt:第三方根证书。
例如,您可以通过运行下列命令将目标目录与 Windows Update 站点同步:
CertUtil -syncWithWU \\computername\sharename\DestinationDir 
GenerateSSTFromWU
该动词用于从 Windows Update 站点生成 .sst 文件。下面是该动词的语法:
CertUtil [Options] -generateSSTFromWU SSTFile 
注意 SSTFile 是创建的 .sst 文件的名称。生成的 .sst 文件包含从 Windows Update 下载的第三方根证书。

例如,可以通过运行下列命令从 Windows Update 站点生成 .sst 文件:
CertUtil –generateSSTFromWU Rootstore.sst 

注册表项

此更新中引入下列注册表项:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate 将该注册表项设置为 1 可禁用可信 CTL 的自动更新。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate将该注册表设置为 1 可启用不允许的 CTL 的自动更新。
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl该注册表项配置共享路径以检索 CTL。