====== Оновлення сертифікатів на непідтримуваних системах Windows ======

Непідтримувані системи, як то Windows XP чи Windows 7 (на момент написання статті ще не актуально) можуть мати проблеми з переглядом інтернет сторінок, як наприклад перегляд сайті, що використовують протокол https.

Для коректної роботи таких сайтів є кілька варіантів:

  * Скористатись актуальною операційною системою
  * Оновити наявну операційну систему
  * Оновити сертифікати вручну

Хоча останній варіант є найменш бажаним, саме його буде розглянуто на цій сторінці.

===== Імпорт сертифікатів з актуальної системи =====

<WRAP center round important 60%>
Цей спосіб є неправильним, використовувати його дуже не радиться. Крім того на системах починаючи з Windows 10 Після його застосування спостерігались проблеми.
</WRAP>

Якщо у вас є система, на якій підтримується актуальність оновленнями сертифікати можна імпортувати з неї.

Для цього вам знадобиться rootsupd - завантажити його можна за посиланням трохи нижче на цій сторінці.

Для початку створимо теку sst в корені диску С.

Копіюємо туди rootsupd  наш та запускаємо наступну команду
<code>
certutil.exe -generateSSTFromWU C:\sst\roots.sst
</code>

Так генерується актуальний roots.sst

Якщо тепер запустити rootsupd  він розпакується в цю ж теку, при цьому  буде запит на заміну roots.sst  - потрібно натиснути ні.

Власне запуск
<code>
C:\sst\rootsupd.exe /c /t:C:\sst
</code>

{{ :windows:screenshot_1.png |}}

Також в теці з'являться інші файли. Потрібен updroots

Тепер на системі яку потрібно оновити треба запустити команду (теку потрібно також скопіювати в корінь диску С:)
<code>
C:\sst\updroots.exe C:\sst\roots.sst
</code>

Сертифікати буде оновлено.
===== Завантаження сертифікатів за допомогою Cert_Updater =====

Що потрібно:

  * Завантажити архів Cert_Updater по посиланню на форумі
  * Відкрити архів та запустити Cert_Updater - дочекатись завантаження сертифікатів та натиснути будь-яку клавішу

{{ :windows:znimok_ekranu_2021-10-05_21-50-15.png |Оновлення пройшло успішно}}

Утиліта також підтримує командний рядок, для отримання довідки потрібно запустити її з параметром /?

{{ :windows:znimok_ekranu_2021-10-05_21-52-27.png |Параметри командного рядка для Cert_Updater }}

Наприклад для автоматичного оновлення сертифікатів у фоновому режимі потрібно виконати команду


<code text |Cert_Updater.bat>
Cert_Updater_v1.6.exe -aic
</code>

Після запуску сертифікати буде оновлено на актуальні





===== Оновлення вручну =====

  * Скористайтесь [[https://wiki.djal.in/doku.php/windows/certupdate#posilannja|посиланнями на цій сторінці]], щоб вручну завантажити сховище сертифікатів \\ {{ :windows:znimok_ekranu_2021-10-05_22-14-42.png |Сховища сертифікатів}}
  * Відкрийте кожне сховище, перейдіть до сертифікатів \\ {{ :windows:znimok_ekranu_2021-10-05_22-15-57.png |Сертифікати в сховищі}}
  * Імпортуйте кожен сертифікат вручну, для цього потрібно двічі клацнути на сертифікаті, та слідувати підказкам, увага - оскільки в сховищах є кореневі сертифікати буде окремий запит для їх імпорту - потрібно погодитись \\ {{ :windows:znimok_ekranu_2021-10-05_22-18-41.png |Імпорт кореневого сертифікату}}



==== Автоматизація ручного оновлення ====


Процес можна автоматизувати використовуючи updroots з розділу [[windows:certupdate#import_sertifikativ_z_aktualnoji_sistemi|Імпорт сертифікатів з актуальної системи]]

Для цього потрібно в теку sst завантажити свіжі сертифікати, знайти посилання на них можна трошки нижче.

Далі там же потрібно створити файл з таким вмістом



<code text |Cert_Updater.bat>
updroots.exe authroots.sst
updroots.exe updroots.sst
updroots.exe -l roots.sst
updroots.exe -d delroots.sst
</code>

Сертифікати буде оновлено.

Нижче готовий файл з оновленнями станом на 23.07.2022 р.

{{ :windows:sst.zip |}} [[https://www.virustotal.com/gui/file/6e67c991b43bb05f099c90e429fe6aba7102307f4dbe1f382ddd637d1031c072/detection|virustotal]]

# SHA-1 \\ 9feedb014ff4a4de345c58630cc3e540e2f3cee1 \\ sst.zip \\ 
# SHA-256 \\ 6e67c991b43bb05f099c90e429fe6aba7102307f4dbe1f382ddd637d1031c072 \\ sst.zip \\ 
===== Посилання =====

  * [[https://msfn.org/board/topic/175170-root-certificates-and-revoked-certificates-for-windows-xp/page/3/#comment-1110568|Тема на форумі де ведеться підтримка й обговорення Cert_Updater]]
  * [[https://web.archive.org/web/20170829230259/http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe|rootsupd - офіційне посилання збережено у web.archive.org]]
  * Прямі посилання на сертифікати \\ http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst \\ http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst \\ http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst \\ http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst
  * {{ :windows:cert_updater_v1.6.zip |}} [[https://www.virustotal.com/gui/file/b5132a78fa60231ba69f182e31c39314060d17a0fd79ab5a01968c76885a5e80?nocache=1|virustotal]] \\
# SHA1 \\
32b08b986bb9f173982d9dbb9a6fd15f8005d528  cert_updater_v1.6.zip \\
# SHA256 \\
b5132a78fa60231ba69f182e31c39314060d17a0fd79ab5a01968c76885a5e80  cert_updater_v1.6.zip \\
# CRC32 \\
b0050041  cert_updater_v1.6.zip \\

<WRAP center round tip 60%>
Microsoft  може перестати підтримувати прямі посилання, в такому разі потрібно дописати https://catalog.s  \\
Наприклад  \\
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst  \\
https://catalog.s.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst  \\
 \\
</WRAP>