Windows 中的憑證與信任

適用於：Windows Server (所有支援的版本)、Windows 用戶端、Azure Stack HCI。

Microsoft 根憑證計劃可在 Windows 作業系統內發佈受信任和不受信任的根憑證。 如需 Windows 根憑證計畫參與者清單的詳細資訊，請參閱參與者清單 - Microsoft 受信任的根計畫。

Windows 作業系統和應用程式會使用受信任和不受信任的根憑證，作為確認公開金鑰基礎結構 (PKI) 階層和數位憑證是否值得信任的參照。 未受信任的根憑證是公認為有詐騙嫌疑的憑證。 受信任和不受信任的根憑證功能適用於所有環境，無論是連線還是中斷連線的環境。

受信任和未受信任的根憑證包含在憑證信任清單中 (CTL)。 當您想要發佈根憑證時，請使用 CTL。 Windows Server 具有每日自動更新功能，包括下載最新的 CTL。 受信任和不受信任的根憑證清單分別稱為「受信任的 CTL」和「不受信任的 CTL」。 如需詳細資訊，請參閱 宣告不可信賴的憑證和金鑰的自動更新程式。

伺服器和用戶端會存取 Windows Update 網站，使用本文所討論的每日自動更新機制 (CTL Updater) 更新 CTL。 您可以透過安裝適當的軟體更新來利用 CTL 更新程式功能。 請參閱設定受信任的根目錄和不允許的憑證一文，以取得本文中所討論支援作業系統上安裝軟體更新的指引。

自動憑證信任清單更新

根據預設，Windows 會透過稱為 CTL Updater 的自動機制，從網際網路下載 CTL。 CTL Updater 所使用的公用 URL 可供用戶端使用：

• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab
• http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

如有必要，也可以停用自動更新功能，但不建議這麼做。

或者，您也可以建立群組原則系統管理範本 (ADMX 原則)，重新導向內部伺服器以進行更新。

儲存受信任和不受信任 CTL 的登錄位置如下所示：

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\EncodedCtl
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\DisallowedCertEncodedCtl

CTL Updater 的優點

使用 CTL Updater 的自動更新功能具備多項優點：

• 用於儲存 CTL 的登錄設定 新設定能夠將上傳受信任或未受信任 CTL 的位置從 Windows Update 網站變更為組織中的共用位置。 請參閱已修改的登錄設定。

• 同步處理選項 如果將 Windows Update 網站的 URL 移至本機共用資料夾，則本機共用資料夾必須與 Windows Update 資料夾進行同步處理。 這個軟體更新會在 Certutil 工具中新增一組選項，您便能用來啟用同步處理。 如需詳細資訊，請參閱 Certutil -syncWithWU Windows 命令參考。

• 用來選取受信任根憑證的工具 這個軟體更新所引進的工具可供在企業環境中管理受信任的根憑證組合。 您可以檢視和選取受信任的根憑證組合、將其匯出到序列憑證存放區，然後使用群組原則加以發佈。 如需詳細資訊，請參閱 Certutil -generateSSTFromWU SSTFile Windows 命令參考。

• 獨立設定 受信任和不受信任憑證的自動更新機制可獨立設定；您可以使用自動更新機制，只下載不受信任的 CTL，並管理自己的受信任 CTL 清單。 如需詳細資訊，請參閱已修改的登錄設定。

請參閱設定受信任的根目錄和不允許的憑證，以取得本文中所討論支援作業系統上安裝軟體更新的指引。

如有必要，可以停用自動更新功能，但不建議這麼做。

下一步

現在您已深入了解 Windows 中受信任的根目錄和不允許的憑證，以下是一些能協助您設定系統的文章。

• 設定受信任的根目錄和不允許的憑證

• 參與者清單 - Microsoft 受信任的根計畫

• 控制更新根憑證的憑證功能，防止資訊流入及流出網際網路

• 事件識別碼 8 — 自動根憑證更新設定

• certutil Windows 命令參考