檢視次數:

了解 Windows 憑證更新過程

展開全部

自動憑證更新

Windows 具有一個內建功能來管理受信任的根憑證。當啟用 Windows 更新時，該功能會自動從 Microsoft 受信任根計劃下載並安裝更新的根憑證。此功能可確保 Windows 擁有最新且受信任的根憑證。過程如下：

憑證儲存管理
Windows 維護一個憑證儲存，其中包括受信任的根憑證清單。這些憑證用於驗證軟體的真實性和確保通信的安全。
更新機制
當屬於 Microsoft 受信任根計劃的一個憑證授權機構（CA）發布新憑證或更新憑證時，Windows 更新會自動下載並安裝該憑證。這個過程有助於維持系統的完整性和可信度。
定期檢查
Windows 會定期檢查受信任的根憑證清單，並在需要時下載它們。這一自動檢查確保憑證存儲始終是最新的，無需手動干預。

企業環境中的手動憑證更新

在未使用 Windows 更新的環境中，如使用 WSUS 或其他更新管理系統，系統管理員需要手動管理憑證更新。以下是在這些環境中更新憑證的 Microsoft 建議步驟：

識別過期的憑證
1. 定期審核系統上的憑證存儲，以識別已過期或即將過期的憑證。
2. 使用工具如certutil來列出並檢查憑證。
下載憑證
1. 手動從 Microsoft 更新目錄或直接從憑證授權機構（CA）網站下載更新的根憑證。Microsoft 更新目錄提供了一個可搜索的更新數據庫，包括根憑證更新。
2. 確保從受信任的來源下載憑證，以避免安全風險。
匯入憑證
1. 將下載的憑證匯入系統中的相應憑證存儲。這可以使用 Microsoft 管理控制台（MMC）與憑證附加元件或透過命令行工具如certutil來完成。
2. 對於 MMC：
  1. 打開 MMC 並添加憑證附加元件。
  2. 導航到相應的存儲（如受信任的根憑證授權單位）。
  3. 右鍵點擊並選擇“匯入”以啟動憑證匯入嚮導。
  4. 按照提示選擇並匯入下載的憑證。
3. 對於certutil，使用以下命令將憑證添加到受信任的根存儲中：
  certutil -addstore root <certificate_file>
自動化憑證分發
1. 在域環境中，使用群組策略來自動化憑證在多個系統中的分發和安裝。這樣可確保網絡中的一致性和合規性。
  1. 打開群組策略管理控制台（GPMC）。
  2. 創建或編輯群組策略對象（GPO）。
  3. 導航到電腦配置 > 策略 > Windows 設定 > 安全設置 > 公鑰策略。
  4. 右鍵點擊受信任的根憑證授權單位並選擇“匯入”以啟動憑證匯入嚮導。
  5. 按照提示選擇並匯入下載的憑證。
2. 將 GPO 應用於相關的組織單位（OU）或群組，以確保所有目標系統接收到更新的憑證。
定期維護和監控
1. 建立定期檢查和更新憑證的計劃，以確保它們保持最新。
2. 監控環境中的任何憑證相關問題並及時處理。
3. 通過訂閱 Microsoft 或相關憑證授權機構的通知，保持對根憑證更新和變更的了解。

使用 EasyFix for System Certificates 工具

EasyFix for System Certificates 是一個工具，用於檢查操作系統是否缺少 Trend Micro Apex One 2019、Trend Micro Apex One SaaS 或 Trend Micro Vision One Agent 所需的憑證。它會自動將這些憑證匯入操作系統，並將憑證檢查和修復結果記錄在日誌檔案中。

EasyFix for System Certificates 可在任何受支援的 Windows 平台上執行，需持有以下任一產品的產品許可證：

Trend Micro Apex One 2019
Trend Micro Apex One SaaS
Trend Micro Vision One Agent
Trend Micro Cloud One Workload Security Agent

此工具可透過軟體分發平台部署到大量 Windows 機器上。也可以手動執行以下步驟來操作：

下載EasyFix for System Certificates工具。
將 "EasyFix_for_System_Certificates_v1.0.zip" 的所有檔案解壓縮到臨時資料夾（例如：C:\temp）。
前往臨時資料夾 C:\temp 並以管理員權限在 CMD 中執行 EasyFixSysCerts.exe。
- 檢查並匯入缺少的憑證，適用於 Trend Micro Apex One 2019 和 Trend Micro Apex One SaaS：
  EasyFixSysCerts.exe A1
- 檢查並匯入缺少的憑證，適用於 Trend Micro Vision One Agent：
  EasyFixSysCerts.exe V1
- 檢查並匯入缺少的憑證，適用於 Trend Micro Cloud One Workload Security Agent：
  EasyFixSysCerts.exe C1
A 'Log' 子資料夾將創建，內含兩個檔案：
- EasyFixofSysCerts.json - 缺少和已安裝憑證的摘要
- SCPeasyfix.log - EasyFixSysCerts 過程的日誌
搜尋以下關鍵字以確認執行結果：
- Fixing result is True.
- Fixing result is False.

管理過期的 Windows 憑證

產品/版本:

更新於: 2024/10/15

文章ID: KA-0013239

類別:

概要

當 Windows 更新被阻擋時，憑證經常會過期，因為 Windows 透過其更新機制（不包括 Windows Server Update Services (WSUS)）自動下載並更新 Microsoft 信任的必要憑證。以下是可能與憑證相關的問題：

• Apex One 無法獲取更新

• Trend Micro Vision One Agent 無法啟用 XDR Endpoint Sensor.

• 錯誤訊息, "Anti-malware driver is offline or not installed for Trend Micro Cloud One Workload Security Agent."

了解 Windows 憑證更新過程

展開全部

自動憑證更新

憑證儲存管理
Windows 維護一個憑證儲存，其中包括受信任的根憑證清單。這些憑證用於驗證軟體的真實性和確保通信的安全。
更新機制
當屬於 Microsoft 受信任根計劃的一個憑證授權機構（CA）發布新憑證或更新憑證時，Windows 更新會自動下載並安裝該憑證。這個過程有助於維持系統的完整性和可信度。
定期檢查
Windows 會定期檢查受信任的根憑證清單，並在需要時下載它們。這一自動檢查確保憑證存儲始終是最新的，無需手動干預。

企業環境中的手動憑證更新

識別過期的憑證
1. 定期審核系統上的憑證存儲，以識別已過期或即將過期的憑證。
2. 使用工具如certutil來列出並檢查憑證。
下載憑證
1. 手動從 Microsoft 更新目錄或直接從憑證授權機構（CA）網站下載更新的根憑證。Microsoft 更新目錄提供了一個可搜索的更新數據庫，包括根憑證更新。
2. 確保從受信任的來源下載憑證，以避免安全風險。
匯入憑證
1. 將下載的憑證匯入系統中的相應憑證存儲。這可以使用 Microsoft 管理控制台（MMC）與憑證附加元件或透過命令行工具如certutil來完成。
2. 對於 MMC：
  1. 打開 MMC 並添加憑證附加元件。
  2. 導航到相應的存儲（如受信任的根憑證授權單位）。
  3. 右鍵點擊並選擇“匯入”以啟動憑證匯入嚮導。
  4. 按照提示選擇並匯入下載的憑證。
3. 對於certutil，使用以下命令將憑證添加到受信任的根存儲中：
  certutil -addstore root <certificate_file>
自動化憑證分發
1. 在域環境中，使用群組策略來自動化憑證在多個系統中的分發和安裝。這樣可確保網絡中的一致性和合規性。
  1. 打開群組策略管理控制台（GPMC）。
  2. 創建或編輯群組策略對象（GPO）。
  3. 導航到電腦配置 > 策略 > Windows 設定 > 安全設置 > 公鑰策略。
  4. 右鍵點擊受信任的根憑證授權單位並選擇“匯入”以啟動憑證匯入嚮導。
  5. 按照提示選擇並匯入下載的憑證。
2. 將 GPO 應用於相關的組織單位（OU）或群組，以確保所有目標系統接收到更新的憑證。
定期維護和監控
1. 建立定期檢查和更新憑證的計劃，以確保它們保持最新。
2. 監控環境中的任何憑證相關問題並及時處理。
3. 通過訂閱 Microsoft 或相關憑證授權機構的通知，保持對根憑證更新和變更的了解。

使用 EasyFix for System Certificates 工具

EasyFix for System Certificates 可在任何受支援的 Windows 平台上執行，需持有以下任一產品的產品許可證：

Trend Micro Apex One 2019
Trend Micro Apex One SaaS
Trend Micro Vision One Agent
Trend Micro Cloud One Workload Security Agent

此工具可透過軟體分發平台部署到大量 Windows 機器上。也可以手動執行以下步驟來操作：

下載EasyFix for System Certificates工具。
將 "EasyFix_for_System_Certificates_v1.0.zip" 的所有檔案解壓縮到臨時資料夾（例如：C:\temp）。
前往臨時資料夾 C:\temp 並以管理員權限在 CMD 中執行 EasyFixSysCerts.exe。
- 檢查並匯入缺少的憑證，適用於 Trend Micro Apex One 2019 和 Trend Micro Apex One SaaS：
  EasyFixSysCerts.exe A1
- 檢查並匯入缺少的憑證，適用於 Trend Micro Vision One Agent：
  EasyFixSysCerts.exe V1
- 檢查並匯入缺少的憑證，適用於 Trend Micro Cloud One Workload Security Agent：
  EasyFixSysCerts.exe C1
A 'Log' 子資料夾將創建，內含兩個檔案：
- EasyFixofSysCerts.json - 缺少和已安裝憑證的摘要
- SCPeasyfix.log - EasyFixSysCerts 過程的日誌
搜尋以下關鍵字以確認執行結果：
- Fixing result is True.
- Fixing result is False.

Featured

Automation Center

Education Portal

在線說明中心

Service Status

TrendConnect

管理過期的 Windows 憑證

了解 Windows 憑證更新過程

自動憑證更新

企業環境中的手動憑證更新

使用 EasyFix for System Certificates 工具

推薦做法

管理過期的 Windows 憑證

產品/版本:

概要

了解 Windows 憑證更新過程

自動憑證更新

企業環境中的手動憑證更新

使用 EasyFix for System Certificates 工具

推薦做法