🔑 Актуальные версии Windows, подключенные к Интернету, автоматически обновляют корневые сертификаты (доверенные сертификаты выпускаются и обновляются в рамках программы Microsoft Trusted Root Certificate). 🛠 Если компьютер находится в изолированной от интернета сети и периодически не обновляет корневые сертификаты, при запуске различных программ или доступе к HTTPS сервисам могут возникать ошибки. Администратор может вручную обновлять корневые сертификаты в Windows, выгрузив их на компьютере, подключенном к интернету и перенеся на офлайн систему. 1️⃣ Выгружаем актуальные TrustedRootCA, доступные через Windows Update, на компьютере с актуальной версией Windows 11 и подключением к Интернету: certutil.exe -generateSSTFromWU C:\CA\roots.sst 2️⃣ Теперь можно передать этот SST файл на офлайн компьютер и импортировать сертификаты в корневые: $sstStore = ( Get-ChildItem -Path C:\CA\roots.sst) $sstStore | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root Для импорта сертификатов в снятых с поддержки Windows 7 и XP используется утилита updroots.exe: updroots.exe roots.sst ⚙️В доменном окружении с помощью групповых политик можно задать сетевую папку, из которой клиенты будут при необходимости автоматически обновлять сертификаты при доступе к узлам с неизвестными сертификатами. Либо есть опция публикации корневых сертификатов сразу в конфигурацию AD, но она больше применима если нужно опубликовать пару-тройку корневых сертификатов. ✅ В статье рассмотрены способы ручного и автоматического обновления корневых сертификатов в различных версиях Windows, включая снятые с поддержки. Обновление корневых сертификатов в Windows