Удаление сертификата ЦС Федеральной общей политики США из доверенного корня Майкрософт

В этой статье рассматривается удаление корневого сертификата ЦС Федеральной общей политики США в обновлении корневого сертификата Майкрософт от 24 мая 2022 г. В этой статье также содержатся решения для предотвращения или устранения проблем, которые возникнут, если предприятия не перешли на корневой сертификат ЦС федеральной общей политики G2 до удаления корневого сертификата ЦС федеральной общей политики из списка доверия сертификатов Майкрософт (CTL) до 24 мая 2022 г.

Примечание.

Корневой сертификат, который удаляется обновлением корневого сертификата Майкрософт, называется "Федеральный ЦС общей политики" и обычно называется корневым сертификатом "G1", хотя "G1" не отображается в имени сертификата.

Корневой сертификат, заменяющий корневой сертификат "G1", называется "ЦС федеральной общей политики G2" и обычно называется корневым сертификатом "G2".

Применимо к: Все версии Windows

Введение

Команда США Федеральной PKI (FPKI), которая управляет центром сертификации федеральной общей политики США, официально запросила удаление корневого сертификата G1, указанного ниже, из программы Microsoft Trusted Root Program.

Имя сертификата	Отпечаток SHA1
ЦС федеральной общей политики	905F942FD9F28F679B378180FD4F846347F645C1

Приложения и операции, зависящие от корневого сертификата "G1", завершатся сбоем через один-семь дней после получения обновления корневого сертификата. Администраторы должны перейти с существующего корневого сертификата "G1" на заменяющий корневой сертификат "G2", указанный ниже в качестве федеральной привязки доверия вашего агентства.

Имя сертификата	Отпечаток SHA1
Федеральная общая политика ЦС G2	99B4251E2EEE05D8292E8397A90165293D116028

Примечание.

Корневой сертификат "G2" можно скачать непосредственно из файла CRT корневого сертификата "G2".

Возможные проблемы

После удаления корневого сертификата "G1" у пользователей в средах, которые не перешли на корневой сертификат "G2", могут возникнуть проблемы, влияющие на следующие сценарии:

• ПОДКЛЮЧЕНИЯ TLS или SSL.
• Безопасные или многоцелевые расширения почты Интернета (S/MIME) или безопасная электронная почта.
• Подписанные документы в Microsoft Word. (Файлы PDF и Adobe Acrobat не будут затронуты.)
• Проверка подлинности клиента, включая установку VPN-подключений.
• Смарт-карта доступ с проверкой подлинности или PIV, включая доступ к эмблемам, который полностью зависит от программного обеспечения Windows.

Во всплывающих окнах и диалоговых окнах могут отображаться следующие сообщения об ошибках:

• Сертификат безопасности сайта не является доверенным.

• Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным ЦС.

• Цепочка сертификатов, обработанная, но завершенная в корневом сертификате, который не является доверенным поставщиком доверия.

• Ошибка цепочки сертификатов.

• Цепочка сертификатов была выдана центром, который не является доверенным.

• Сертификат или связанная цепочка недопустимы.

Действия, чтобы избежать этих проблем

1. Проверьте изменения в разделе Настройка конфигурации тестирования , чтобы проверить, что происходит с удалением "G1" из CTL до даты выпуска обновления.
2. После использования раздела настройка тестовой конфигурации , чтобы убедиться, что все соответствующие сценарии работают, выполните действия, описанные в разделе "Настройка рабочей конфигурации" рабочей конфигурации.

Примечание.

Сценарии использования приложения как услуги, такие как Azure SQL или Служба приложений Azure, которые связаны с корневым сертификатом "G1", завершаются ошибкой после удаления корневого сертификата "G1".

Настройка конфигурации тестирования

Перед выпуском обновления администраторы могут выполнить следующие действия, чтобы напрямую настроить реестр Windows на предварительное или промежуточное расположение последнего обновления сертификата. Вы также можете настроить параметры с помощью групповая политика. См. раздел Настройка пользовательского административного шаблона для объекта групповой политики.

Примечание.

Предварительная версия майского выпуска, которая включает удаление корневого сертификата G1, будет подготовлена 11 мая 2022 г.

1. Откройте regedit и перейдите к следующему подразделу реестра:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Добавьте или измените следующие значения реестра:

   • Задайте для rootDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.
   • Задайте для syncFromDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/test.

3. Удалите следующие значения реестра:

   • EncodedCtl
   • LastSyncTime

4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Удалите подраздел. На этом шаге удаляются все сохраненные корневые сертификаты.

   Примечание.

   Удалив все хранимые корневые сертификаты из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates, можно убедиться, что все сохраненные корневые сертификаты удалены. Эта операция заставляет Windows загружать новые корневые сертификаты, если используются связанные цепочки инфраструктуры открытых ключей (PKI) с новыми свойствами (в случае изменения). Так как корневой сертификат "G1" удаляется, этот корневой сертификат не будет скачан.

5. Проверьте все сценарии, связанные с корневым сертификатом G1, включая сценарии, перечисленные в разделе Потенциальные проблемы.

Примечание.

Ссылка на тестовый сайт никогда не меняется. Однако изменения, внесенные на тестовом сайте, меняются из месяца в месяц.

Настройка рабочей конфигурации

Следующие действия напрямую настраивают реестр Windows для использования рабочей версии CTL, если используется проверочный URL-адрес из предыдущего раздела:

1. Откройте regedit и перейдите к следующему подразделу реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate

2. Добавьте или измените следующие значения реестра:

   • Задайте для rootDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.
   • Задайте для syncFromDirUrl значение http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en.

3. Удалите следующие значения реестра:

   • EncodedCtl
   • LastSyncTime

4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates Удалите подраздел реестра. На этом шаге удаляются все сохраненные корневые сертификаты.

Настройка корневого сертификата G2

Администраторы должны настроить корневой сертификат "G2" в соответствии с приведенными ниже инструкциями, прежде чем корневой сертификат "G1" будет удален путем обновления корневого сертификата вне диапазона (OOB).

1. Следуйте инструкциям в разделе Получение и проверка корневого сертификата FCPCA , чтобы скачать и установить корневой сертификат "G2" на всех компьютерах рабочей группы, члена и контроллера домена Windows.
2. Существует несколько способов развертывания корневого хранилища на корпоративных устройствах. См. раздел "Решения Майкрософт" статьи Распространение в операционные системы.

Примечание.

На предприятиях с зависимостями перекрестной сертификации для интеллектуальных карта входов или других сценариев на устройствах Windows, но не имеющих доступа к Интернету, см. разделы "Нужно ли распространять промежуточные сертификаты ЦС?" и "Сертификаты, выданные ЦС федеральной общей политики G2" раздела Распространение промежуточных сертификатов.

Многие федеральные предприятия должны иметь сертификаты ЦС Казначейства США или сертификаты ЦС Entrust Managed Services. Оба сертификата ЦС описаны в статье "Распространение сертификатов ЦС" следующим образом:

Важно! Чтобы убедиться, что сертификаты учетных данных PIV, выданные доверенным федеральным поставщиком служб SSP до 13 августа 2019 г., будут проверены в ЦС федеральной общей политики G2, необходимо распространить дополнительный промежуточный сертификат ЦС в системы, которые не могут выполнять динамическую проверку пути. Дополнительные сведения см. на странице часто задаваемых вопросов.

Действия, выполняемые вручную для получения CTL

Для отключенных сред, в которых устройствам Windows запрещен доступ к клиентский компонент Центра обновления Windows или Интернету, выполните следующие действия, чтобы получить список CTL вручную.

1. Скачайте CTL:
   1. Запустите certutil -generateSSTFromWU c:\roots\trustedcerts.sst.
   2. При выборе файла trustedcerts.sst откроется оснастка диспетчера сертификатов для отображения полного CTL.
2. Скачать список запрещенных сертификатов:
   1. Запустите certutil -syncwithwu c:\roots.
   2. Запустите certutil -verifyctl -v c:\roots\disallowedstl.cab c:\roots\disallowedcert.sst.
   3. При выборе параметра disallowedcert.sst откроется оснастка диспетчера сертификатов, чтобы отобразить все корни в списке Запрещенные.
3. Чтобы оценить параметры, которые не отображаются в пользовательском интерфейсе, преобразуйте SST-файл в текстовый файл. Для этого выполните команду certutil -dump -gmt -v c:\roots\trustedcerts.sst > c:\roots\trustedcerts.txt.
4. Скачайте корневой сертификат "G2" из раздела Получение и проверка корневого сертификата FCPCA и добавьте его в свой личный CTL.

Устранение и анализ проблем с корневой цепочкой

Следующие данные помогут устранить неполадки с операциями, на которые влияет удаление корневого сертификата G1:

1. Включите ведение журнала CAPI2. См . статью Устранение неполадок С PKI Windows и диагностика CAPI2.

2. Создайте фильтры в Просмотр событий для следующих журналов событий, источников событий и идентификаторов событий.

   В разделе Журналы приложений и служб\Microsoft\Windows\CAPI2\Операционный журнал, который использует CAPI2 в качестве источника:

   • Событие с идентификатором 11: это событие показывает сбои цепочки.
   • Идентификатор события 30. Это событие показывает сбои цепочки политик, например сбои NTAuth и проверка политики SSL.
   • Событие с идентификатором 90: это событие показывает все сертификаты, которые использовались для создания всех возможных цепочек сертификатов в системе.
   • Идентификатор события 40–43: этот ряд событий показывает все хранимые списки отзыва сертификатов и сертификаты событий, доступ к которым осуществляется через пути AIA.
   • Идентификатор события 50–53: этот ряд событий показывает все попытки доступа к спискам отзыва сертификатов из сети. Событие связано со следующим сообщением об ошибке:

     Цепочка сертификатов, обработанная, но завершенная в корневом сертификате, который не является доверенным поставщиком доверия

   В журнале системных событий, который использует Microsoft-Windows-Kerberos-Key-Distribution-Center в качестве источника:

   • Ошибка 19. Это событие указывает на то, что была предпринята попытка использовать смарт-карта входа, но KDC не может использовать протокол PKINIT, так как отсутствует подходящий сертификат.
   • Событие 21. Не удалось создать цепочку сертификатов для доверенного корневого центра.
   • Событие 29. Центр распространения ключей (KDC) не может найти подходящий сертификат для смарт-карта входа, или сертификат KDC не удалось проверить. Если эта проблема не устранена, смарт-карта вход может работать неправильно. Чтобы устранить эту проблему, проверьте существующий сертификат KDC с помощью Certutil.exe или зарегистрируйтесь для получения нового сертификата KDC.