Root Zertifikate Offline aktualisieren 1

Root Zertifikate Offline aktualisieren

Microsoft Roots offline aktualisieren

Normalerweise werden die Root-Zertifikate (Stammzertifikate), im Rahmen eines Automatismus wöchentlich aktualisiert.

Microsoft verwaltet im Rahmen des „Microsoft Trusted Root Certificate Program“ eine Repository. Aus dieser Repository laden wir die Zertifikate herunter und verpacken diese in eine sst (Serialized Certificate Store File) Datei.

Mithilfe der Commandline und dem Befehl certutil erstellen wir nun diese Offline sst Datei.

certutil.exe -generateSSTFromWU roots.sst

Microsoft Roots offline aktualisieren

Importieren von Zertifikaten anhand einer vorhandenen sst Datei:

Die sst (Serialized Certificate Store File) Datei kann nun auf jeden beliebigen Computer ohne Internetzugang verteilt und importiert werden.

$sst = ( Get-ChildItem -Path C:\Temp\roots.sst )
$sst | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Root Zertifikate Offline aktualisieren

Optional:

Get-Childitem cert:\LocalMachine\root | format-list
Get-ChildItem cert:\LocalMachine\root  |  Where {$_.NotAfter -lt  (Get-Date).AddDays(90)}

Alternative mittels einer stl Datei. Diese wird alle 2 Monate von MS aktualisiert.

Download:

https://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Import per CMD:

certutil -addstore -f root authroot.stl

Import per Powershell:

$sst = (Get-ChildItem -Path C:\Temp\roots.sst )
$sst | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root

Alternative mittels einem Direktdownload der Zertifikats Dateien

Download:

certutil -syncWithWU -f \\DC10\roots

Anleitung und GPO zum Download

SHA256: 2ED90DE640A0BE75CA4C353D0489DD416914D1D4B38F6468A17D99640EAA4B98

Root Zertifikate Offline aktualisieren

Microsoft Windows – Update root Zertifikate