web-dev-qa-db-fra.com

Réinitialiser le magasin de certificats approuvés Windows à sa valeur par défaut

Au fil du temps, j'ai installé plusieurs certificats d'autorité de certification de confiance supplémentaires dans le magasin de clés de confiance Windows, parfois parce qu'une application m'a poussé à le faire, d'autres fois pour le développement et les tests.

Existe-t-il une commande pour restaurer les certificats d'autorité de certification approuvés par défaut (ou actuellement recommandés par MS) et supprimer toutes les autres entrées?

certificatespublic-key-infrastructure
15
Jaime Hablutzel

J'ai trouvé la méthode simple suivante pour supprimer les certificats d'autorité de certification de confiance localement non présents dans la liste de certificats de certification Microsoft officielle et actuelle:

Téléchargez d'abord Sigcheck ( https://docs.Microsoft.com/en-us/sysinternals/downloads/sigcheck ) puis exécutez:

>sigcheck.exe -tuv
... 
Listing valid certificates not rooted to the Microsoft Certificate Trust List:

User\Root:
   Test Purpose CA
        Cert Status:    Valid
        Valid Usage:    All
        Cert Issuer:    Some development Root CA
        Serial Number:  01
        Thumbprint:     9CB31B0AE15867B5E29C4F7E21FE195C2AF24FE3
        Algorithm:      sha1RSA
        Valid from:     2:10 PM 2/5/2015
        Valid to:       2:10 PM 2/5/2025
   LLAMA.PE Root CA - R2
        Cert Status:    Valid
        Valid Usage:    All
        Cert Issuer:    Some third party Root CA
        Serial Number:  01 E0 DA 86 CC 7D 58 ED D8 62 E6 47 A2
        Thumbprint:     1B4AEFF4FB8E2BEFEB3A8FE60D03D24269AB4A6B
        Algorithm:      sha256RSA
        Valid from:     7:00 PM 3/14/2017
        Valid to:       7:00 PM 3/14/2037
...

Ensuite, supprimez simplement toutes les autorités de certification affichées avec quelque chose comme certmgr.msc.

Notes

  • Cette méthode aidera uniquement à supprimer les certificats d'autorité de certification approuvés localement qui n'existent pas dans la liste de confiance des certificats Microsoft, mais elle n'installera pas les autorités de certification de la liste de confiance des certificats Microsoft qui ne sont pas actuellement installées dans le magasin local (par exemple, ceux supprimés manuellement).
  • Ceci vérifie le magasin d'utilisateurs actuel, pas le magasin de machines. Pour vérifier le magasin de machines, omettez simplement le u dans les arguments.
  • La sortie semble inclure uniquement des certificats valides, par exemple J'ai observé qu'une autorité de certification approuvée localement avec une signature que Windows n'a pas pu valider n'était pas répertoriée et j'ai dû la vérifier et la supprimer manuellement.

Crédits du site suivant, http://woshub.com/how-to-check-trusted-root-certification-authorities-for-suspicious-certs/ .

3
Jaime Hablutzel

Théoriquement, vous pouvez appliquer la méthode suivante:

  1. Supprimez tous les certificats d'autorité de certification racine, à l'exception de ceux dont Windows a absolument besoin, comme indiqué ici .

  2. Installez la liste actuelle de l'autorité de certification racine de confiance à partir de package actuel . Notez que la validation de ce package nécessite que vous fassiez toujours confiance à l'une des autorités de certification racine "nécessaires", c'est pourquoi vous devez les conserver dans la première étape.

Je souligne que Je n'ai pas testé cette méthode. Comme étape préparatoire, vous souhaiterez peut-être d'abord effectuer une sauvegarde de tous ces certificats: exécutez certmgr.msc, ouvrez le magasin Root, sélectionnez-les tous (par exemple avec Ctrl-A), puis cliquez avec le bouton droit et choisissez de les exporter tous sous forme de fichier PKCS # 7. Ce fichier contiendra une copie de tous les certificats, ce qui devrait vous permettre de réparer les choses, si la méthode ci-dessus échoue d'une manière ou d'une autre. Là encore, la reprise n'est pas testée.

Méfiez-vous de la multiplicité des magasins. certmgr.msc montre une vue agrégée contenant des certificats provenant de diverses sources ("magasins physiques"). Pour comprendre ce que vous vous apprêtez à faire, dans le gestionnaire de certificats, cliquez avec le bouton droit sur le nœud Certificats (nœud racine de l'arborescence dans le volet gauche) , sélectionnez Afficher puis Options , puis sélectionnez Boîte de stockage des certificats physiques . Ce processus est décrit dans cette entrée de blog (avec des captures d'écran).

8
Tom Leek