在离线环境下允许管理员更新受信任和移除CTLs（信任证书列表）的更新

在离线环境下允许管理员更新受信任和移除CTLs（信任证书列表）的更新

总结

本次软件更新为Windows提供了一下提升：

• 允许用户配置域连接计算机使用信任和移除证书信任列表（CTLs）自动更新功能。计算机可以不通过Windows更新模块使用自动更新功能。
• 允许管理员通过自动更新功能配置域连接计算机独立选择信任或移除CTLs。
• 允许管理员使用Microsoft根证书程序测试根证书组的权限。

先修知识

本文为有对组策略、第三方根证书更新、不信任证书、不允许列表有一定了解的公钥架构管理员。本文也为会编辑简单的ADM/ADMX文件的公钥架构管理员扩展。

背景知识

Windows根证书编程允许根证书在Windows上自动分布(distributed)。

受信任证书可以通过以下方法被安装(distributed)。

• 客户端可以通过自动更新机制下载或者更新受信任根证书。受信任证书列表储存在Windows的更新服务器的证书信任列表（受信任CTL）中。

不受信任根证书（欺诈证书）可以通过以下方法安装。

• 用户可以通过自动更新机制下载或更新不信任根证书。不受信任根证书被存储在Windows更新服务器的CTL中。

需要注意的是受信任根证书和不受信任根证书对自动更新机制是一致的。如果自己管理受信任根证书组，你可以关闭受信任CTL自动更新机制。

已知问题

在安装本次软件更新之前，你在管理根证书可能遭遇了如下问题之一：

• 在离线环境中更新受信任或不受信任根证书，你必须使用IEXPRESS打包背景知识中描述的功能。然而，你需要手动安装IEXPRESS包。另外，尽管我们尝试下载到了CTL的功能包，一些延时会在IEXPRESS包中发生。
• 你不能独立关闭受信任和不受信任CTLs自动安装机制。
• 管理自己受信任根证书是无法看到根证书或无法判断根证书是否应该信任。

解决方案

这个新的软件更新包括下列内容：

• 这个更新在Windows上增加了下列特性使你能在离线环境下使用自动更行机制。
• 这个软件更新解耦了信任和不信任CTLs的自动更新机制。
• 此软件更新引入了一个新工具，管理员可以使用该工具来查看Microsoft根证书程序中的可信根证书集。