Зачем обновлять корневые сертификаты?

Без актуального списка доверенных корневых центров Windows не сможет проверить сертификаты банковских сайтов, электронного документооборота и обновлений ПО. В результате — ошибки TLS и невозможность подписать документы КЭП.

Как работает автоматическое обновление корней Microsoft?

Windows раз в сутки обращается к Microsoft Trust List (CTL) через ctldl.windowsupdate.com и скачивает изменения. Без доступа в интернет (автономные сети) этот механизм не работает, и обновлять root store приходится вручную или через WSUS.

Как добавить российский корневой сертификат Минцифры?

Скачиваете сертификат с gu.nalog.ru или с сайта Минцифры, ставите в хранилище Trusted Root CAs командой certutil -addstore -f Root russian-root.crt или через групповую политику Trusted Root Certification Authorities.

Почему сайт ругается на сертификат даже после обновления?

Проверьте цепочку: промежуточный CA тоже должен быть установлен (в Intermediate CA), время на машине должно быть актуальным (иначе проверка срока не проходит), и CRL/OCSP должен быть доступен клиенту.

Как распространить корневые сертификаты на парк ПК?

Через GPO Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Trusted Root Certification Authorities. Импортируете сертификат, политика применится на всех машинах OU в течение 90 минут.

Windows 10 февраля 2026 · 15 мин чтения

Обновление корневых сертификатов Windows: автоматика, ручная установка и российские корни

Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я обслужил десятки сетей, где в какой-то момент пользователи получили ошибку «Сертификат не может быть проверен» при заходе на сайт госуслуг или подписании накладной в ЭДО. Причина почти всегда одна — устарел список доверенных корневых центров. Разберём, как устроена эта кухня в Windows, что делать в изолированных сетях и как корректно добавить российские корневые сертификаты на весь офис.

Как Windows доверяет сертификатам

В Windows есть несколько хранилищ сертификатов для локальной машины и для каждого пользователя. Ключевые:

Хранилище	Что хранит
Trusted Root Certification Authorities	Корневые CA, которым доверяет машина
Intermediate Certification Authorities	Промежуточные CA
Trusted Publishers	Издатели ПО, которым доверена подпись
Untrusted Certificates	Явно отозванные
Third-Party Root CAs	Корневые от Microsoft CTL

Когда приложение проверяет сертификат, оно идёт по цепочке снизу вверх: сайт → промежуточный CA → корневой CA. Если корневой не в доверенных — всё, ошибка. Без правильно наполненного Trusted Root нормальная работа браузеров, Outlook, 1С веб-клиента, VPN и EDI невозможна.

Автоматическое обновление Microsoft

Начиная с Windows 7 есть механизм Automatic Root Update: система раз в сутки ходит по адресу http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab и скачивает актуальный CTL (Certificate Trust List) — список всех корней, подтверждённых Microsoft Trusted Root Program.

Проверить, работает ли он на клиенте:

certutil -verifyctl AuthRoot
# или ручной запуск задачи
Get-ScheduledTask -TaskName "AutoUpdate*" -TaskPath "\Microsoft\Windows\CertificateServicesClient\"
Start-ScheduledTask -TaskPath "\Microsoft\Windows\CertificateServicesClient\" -TaskName "UserTask-Roam"

Автономные сети: что делать без интернета

В изолированной корпоративной сети механизм autorootupdate не работает. Выход — периодически выгружать свежий CTL вручную или через WSUS и публиковать во внутреннее хранилище. Последовательность:

На машине с доступом в интернет скачиваем актуальный пакет:

certutil -generateSSTFromWU roots.sst

Переносим roots.sst в изолированную сеть.
На доменном контроллере импортируем SST в хранилище AD:

Import-Certificate -FilePath roots.sst -CertStoreLocation Cert:\LocalMachine\AuthRoot

Или распространяем через GPO — об этом ниже.

Ручная установка сертификата

Классический способ для одной машины:

# Установка корневого
certutil -addstore -f Root russian-root.crt

# Установка промежуточного
certutil -addstore -f CA russian-intermediate.crt

# Проверка
certutil -store Root | Select-String "Минцифры"

Через PowerShell — то же самое:

Import-Certificate -FilePath russian-root.crt `
  -CertStoreLocation Cert:\LocalMachine\Root

Import-Certificate -FilePath russian-intermediate.crt `
  -CertStoreLocation Cert:\LocalMachine\CA

Российские корневые сертификаты Минцифры

С 2022 года Минцифры России выпускает собственные TLS-сертификаты для госресурсов. По умолчанию их в Windows нет, поэтому для доступа к gosuslugi.ru, ФНС, ЭДО нужно добавлять два корневых сертификата: Минцифры Россия и Минцифры Россия GOST.

Источники для скачивания: сайт Минцифры, раздел «Сертификаты TLS/SSL». Оба сертификата я рекомендую ставить в Trusted Root Certification Authorities. Для ГОСТ-алгоритмов потребуется КриптоПро CSP или аналогичный российский криптопровайдер — без него Windows не сможет проверить подпись.

Установка на все машины офиса — только через GPO. Хаотичное добавление по ПК почти всегда приводит к тому, что кто-то один его не получит и через месяц прибежит с ошибкой.

Распространение корней через GPO

Методика для доменной сети:

Открываем gpmc.msc, создаём GPO «Root-Certificates-Corporate».
Computer Configuration → Policies → Windows Settings → Security Settings → Public Key Policies → Trusted Root Certification Authorities.
Правый клик → Import → указываем .crt/.cer файл.
Привязываем GPO к корню домена или к нужной OU.
На клиенте проверяем gpupdate /force и смотрим в certmgr.msc.

Промежуточные сертификаты аналогично — через Intermediate Certification Authorities.

Мини-кейс: ошибка TLS на госуслугах

В январе 2026 — торгово-производственная компания в Подмосковье, 62 рабочих места. Бухгалтерия перестала заходить в личный кабинет ФНС: «ваше соединение не защищено». На машинах не было сертификата Минцифры. Я подготовил два файла — корневой и промежуточный — залил в GPO Trusted Root Certification Authorities, связал с OU «Users». Через 90 минут вся бухгалтерия зашла без ошибок. Время работ — 40 минут, из них 35 ушло на подготовку GPO и согласование с руководителем.

С тех пор мы включили эту политику в базовый baseline всех новых клиентов из Москвы и области — у нас на практике за последние полгода это экономит десятки часов поддержки.

Ошибки и их диагностика

Когда TLS не работает, иду по чек-листу:

# Проверить цепочку по URL
certutil -verify -urlfetch cert.crt

# Посмотреть хранилище Root
Get-ChildItem Cert:\LocalMachine\Root | Select Subject, Thumbprint, NotAfter

# Проверить конкретный сертификат в браузере
# Edge: F12 → Security → View certificate
# Chromium: chrome://flags → Component → CRLSet

Самые частые причины ошибок:

Неверное время на машине — сертификат считается просроченным или ещё не действительным.
Нет промежуточного CA — цепочка не собирается.
Корень в Untrusted Certificates — редко, но бывает после чистки.
Windows Server без Internet → CTL не обновляется, старый снепшот корней.
Отсутствует российский криптопровайдер для ГОСТ-сертификатов.

Регулярная поддержка корневого хранилища

Я всегда закладываю в регламент ежеквартальную проверку:

Обновление Microsoft CTL через autorootupdate или ручной SST (1 раз в квартал).
Обновление российских корней, если Минцифры выпустило новый (по новостям).
Аудит хранилища: убрать устаревшие корни, явно отозвать скомпрометированные.
Для серверного парка в дата-центре — синхронизировать все корни с централизованного репозитория.

Настрою сертификатную инфраструктуру

Централизованное распространение корневых сертификатов (включая российские), автономные сценарии обновления, интеграция КриптоПро CSP и подписи документов КЭП. Москва и область.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Зачем обновлять корневые сертификаты?: Без актуального root store ломается TLS, подпись документов, работа с банками и госуслугами.
Как работает автоматическое обновление корней Microsoft?: Через ctldl.windowsupdate.com раз в сутки. Без интернета механизм не работает — нужен ручной SST или WSUS.
Как добавить российский корневой сертификат Минцифры?: Через certutil -addstore -f Root либо через GPO на все машины домена.
Почему сайт ругается на сертификат даже после обновления?: Проверьте промежуточный CA, время на машине и доступность CRL/OCSP.
Как распространить корневые сертификаты на парк ПК?: GPO → Public Key Policies → Trusted Root Certification Authorities. Стандарт для корпоративной сети.