在离线环境下容许管理员更新受信任和移除CTLs(信任证书列表)的更新
总结
本次软件更新为Windows提供了一下提高:web
- 容许用户配置域链接计算机使用信任和移除证书信任列表(CTLs)自动更新功能。计算机能够不经过Windows更新模块使用自动更新功能。
- 容许管理员经过自动更新功能配置域链接计算机独立选择信任或移除CTLs。
- 容许管理员使用Microsoft根证书程序测试根证书组的权限。
先修知识
本文为有对组策略、第三方根证书更新、不信任证书、不容许列表有必定了解的公钥架构管理员。本文也为会编辑简单的ADM/ADMX文件的公钥架构管理员扩展。编程
背景知识
Windows根证书编程容许根证书在Windows上自动分布(distributed)。服务器
受信任证书能够经过如下方法被安装(distributed)。架构
- 客户端能够经过自动更新机制下载或者更新受信任根证书。受信任证书列表储存在Windows的更新服务器的证书信任列表(受信任CTL)中。
不受信任根证书(欺诈证书)能够经过如下方法安装。svg
- 用户能够经过自动更新机制下载或更新不信任根证书。不受信任根证书被存储在Windows更新服务器的CTL中。
须要注意的是受信任根证书和不受信任根证书对自动更新机制是一致的。若是本身管理受信任根证书组,你能够关闭受信任CTL自动更新机制。工具
已知问题
在安装本次软件更新以前,你在管理根证书可能遭遇了以下问题之一:测试
- 在离线环境中更新受信任或不受信任根证书,你必须使用IEXPRESS打包背景知识中描述的功能。然而,你须要手动安装IEXPRESS包。另外,尽管咱们尝试下载到了CTL的功能包,一些延时会在IEXPRESS包中发生。
- 你不能独立关闭受信任和不受信任CTLs自动安装机制。
- 管理本身受信任根证书是没法看到根证书或没法判断根证书是否应该信任。
解决方案
这个新的软件更新包括下列内容:xml
- 这个更新在Windows上增长了下列特性使你能在离线环境下使用自动更行机制。
- 这个软件更新解耦了信任和不信任CTLs的自动更新机制。
- 此软件更新引入了一个新工具,管理员能够使用该工具来查看Microsoft根证书程序中的可信根证书集。