Microsoft Roots offline aktualisieren
Normalerweise werden die Root-Zertifikate (Stammzertifikate), im Rahmen eines Automatismus wöchentlich aktualisiert.
Microsoft verwaltet im Rahmen des „Microsoft Trusted Root Certificate Program“ eine Repository. Aus dieser Repository laden wir die Zertifikate herunter und verpacken diese in eine sst (Serialized Certificate Store File) Datei.
Mithilfe der Commandline und dem Befehl certutil erstellen wir nun diese Offline sst Datei.
certutil.exe -generateSSTFromWU roots.sst
Importieren von Zertifikaten anhand einer vorhandenen sst Datei:
Die sst (Serialized Certificate Store File) Datei kann nun auf jeden beliebigen Computer ohne Internetzugang verteilt und importiert werden.
$sst = ( Get-ChildItem -Path C:\Temp\roots.sst )
$sst | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
Optional:
Get-Childitem cert:\LocalMachine\root | format-list
Get-ChildItem cert:\LocalMachine\root | Where {$_.NotAfter -lt (Get-Date).AddDays(90)}
Alternative mittels einer stl Datei. Diese wird alle 2 Monate von MS aktualisiert.
Download:
https://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Import per CMD:
certutil -addstore -f root authroot.stl
Import per Powershell:
$sst = (Get-ChildItem -Path C:\Temp\roots.sst )
$sst | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
Alternative mittels einem Direktdownload der Zertifikats Dateien
Download:
certutil -syncWithWU -f \\DC10\roots
Anleitung und GPO zum Download
SHA256: 2ED90DE640A0BE75CA4C353D0489DD416914D1D4B38F6468A17D99640EAA4B98
Root Zertifikate Offline aktualisieren
https://www.der-windows-papst.de/2015/01/17/microsoft-windows-update-root-zertifikate/