Оновлення сертифікатів на непідтримуваних системах Windows

Непідтримувані системи, як то Windows XP чи Windows 7 (на момент написання статті ще не актуально) можуть мати проблеми з переглядом інтернет сторінок, як наприклад перегляд сайті, що використовують протокол https.

Для коректної роботи таких сайтів є кілька варіантів:

• Скористатись актуальною операційною системою
• Оновити наявну операційну систему
• Оновити сертифікати вручну

Хоча останній варіант є найменш бажаним, саме його буде розглянуто на цій сторінці.

Якщо у вас є система, на якій підтримується актуальність оновленнями сертифікати можна імпортувати з неї.

Для цього вам знадобиться rootsupd - завантажити його можна за посиланням трохи нижче на цій сторінці.

Для початку створимо теку sst в корені диску С.

Копіюємо туди rootsupd наш та запускаємо наступну команду

certutil.exe -generateSSTFromWU C:\sst\roots.sst

Так генерується актуальний roots.sst

Якщо тепер запустити rootsupd він розпакується в цю ж теку, при цьому буде запит на заміну roots.sst - потрібно натиснути ні.

Власне запуск

C:\sst\rootsupd.exe /c /t:C:\sst

Також в теці з'являться інші файли. Потрібен updroots

Тепер на системі яку потрібно оновити треба запустити команду (теку потрібно також скопіювати в корінь диску С:)

C:\sst\updroots.exe C:\sst\roots.sst

Сертифікати буде оновлено.

Що потрібно:

• Завантажити архів Cert_Updater по посиланню на форумі
• Відкрити архів та запустити Cert_Updater - дочекатись завантаження сертифікатів та натиснути будь-яку клавішу

Утиліта також підтримує командний рядок, для отримання довідки потрібно запустити її з параметром /?

Наприклад для автоматичного оновлення сертифікатів у фоновому режимі потрібно виконати команду

|Cert_Updater.bat

Cert_Updater_v1.6.exe -aic

Після запуску сертифікати буде оновлено на актуальні

• Скористайтесь посиланнями на цій сторінці, щоб вручну завантажити сховище сертифікатів
  
• Відкрийте кожне сховище, перейдіть до сертифікатів
  
• Імпортуйте кожен сертифікат вручну, для цього потрібно двічі клацнути на сертифікаті, та слідувати підказкам, увага - оскільки в сховищах є кореневі сертифікати буде окремий запит для їх імпорту - потрібно погодитись
  

Процес можна автоматизувати використовуючи updroots з розділу Імпорт сертифікатів з актуальної системи

Для цього потрібно в теку sst завантажити свіжі сертифікати, знайти посилання на них можна трошки нижче.

Далі там же потрібно створити файл з таким вмістом

|Cert_Updater.bat

updroots.exe authroots.sst
updroots.exe updroots.sst
updroots.exe -l roots.sst
updroots.exe -d delroots.sst

Сертифікати буде оновлено.

Нижче готовий файл з оновленнями станом на 23.07.2022 р.

sst.zip virustotal

# SHA-1
9feedb014ff4a4de345c58630cc3e540e2f3cee1
sst.zip
# SHA-256
6e67c991b43bb05f099c90e429fe6aba7102307f4dbe1f382ddd637d1031c072
sst.zip

• Тема на форумі де ведеться підтримка й обговорення Cert_Updater
• rootsupd - офіційне посилання збережено у web.archive.org
• Прямі посилання на сертифікати
  http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authroots.sst
  http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/delroots.sst
  http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/roots.sst
  http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/updroots.sst
• cert_updater_v1.6.zip virustotal
  

# SHA1
32b08b986bb9f173982d9dbb9a6fd15f8005d528 cert_updater_v1.6.zip
# SHA256
b5132a78fa60231ba69f182e31c39314060d17a0fd79ab5a01968c76885a5e80 cert_updater_v1.6.zip
# CRC32
b0050041 cert_updater_v1.6.zip