Vous avez compris comment Windows gère les certificats racine ? En résumé, Windows se met à jour automatiquement en récupérant des certificats racine de confiance auprès des serveurs de Microsoft lors des mises à jour régulières de Windows Update. Cela fait partie du Programme de certificats racine de confiance de Microsoft. Lorsque vous consultez un site web utilisant SSL et que l’autorité de certification racine de sa chaîne fait partie de ce programme, Windows récupère et ajoute automatiquement ce certificat racine à son magasin de certificats de confiance. Vous n’avez donc pas à vous en soucier manuellement. Généralement, la mise à jour a lieu une fois par semaine, mais si Windows ne peut pas accéder aux serveurs de mise à jour (par exemple, si l’ordinateur est hors ligne ou derrière un pare-feu strict), la liste ne sera pas actualisée. Cela peut entraîner des erreurs SSL, des scripts corrompus ou des applications refusant de s’exécuter car elles ne font plus confiance aux certificats. Et oui, cela peut parfois être fastidieux à corriger manuellement, surtout sur les réseaux isolés. Ce guide explique comment mettre à jour ou gérer manuellement les certificats racine, même si votre système ne peut pas se connecter à Internet.
Comment réparer les certificats racine de confiance sous Windows lorsqu’ils sont hors ligne ou obsolètes
Gestion des certificats racine de confiance sous Windows 10 et 11
Pour commencer, si vous souhaitez consulter ou gérer la liste des certificats racine, le plus simple est de lancer mmc.exe. Une fois la console affichée, cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable, sélectionnez Certificats, puis choisissez de gérer le compte Ordinateur. Sélectionnez votre ordinateur local, cliquez sur Ajouter, puis sur OK. Développez Certificats > Autorités de certification racines de confiance > Certificats. Voilà, vous verrez la liste complète des autorités de certification racines de confiance. Vous pouvez alors les consulter, supprimer les certificats suspects ou les exporter si nécessaire.
Astuce : Vous pouvez également extraire rapidement une liste dans PowerShell pour voir ce qui est actuellement considéré comme fiable, avec cette commande :
Get-ChildItem cert:\LocalMachine\Root | Format-List
Si vous souhaitez une version plus courte pour repérer les produits qui arrivent bientôt à expiration, essayez :
Get-ChildItem cert:\LocalMachine\Root | Where-Object {$_. NotAfter -lt (Get-Date).AddDays(60)} | Select-Object NotAfter, Subject
En pratique, il est judicieux de vérifier régulièrement le magasin de certificats racine, surtout dans les environnements critiques. Utilisez un outil de sécurité comme Sigcheck de Sysinternals pour comparer vos certificats à la liste la plus récente de Microsoft. Si vous trouvez un certificat suspect ou révoqué, supprimez-le manuellement.
Activation ou désactivation des mises à jour automatiques du certificat racine
C’est typiquement le genre de situation où l’on se demande « pourquoi ça ne marche pas ? ».Windows gère normalement les mises à jour des certificats racine automatiquement, mais si vous devez désactiver cette fonctionnalité (pour des tests ou dans des environnements isolés du réseau), vous pouvez le faire via gpedit.msc ou en modifiant le registre. Accédez à Configuration ordinateur > Modèles d’administration > Système > Gestion des communications Internet > Communication Internet. Recherchez la stratégie « Désactiver la mise à jour automatique des certificats racine ». Activez-la pour empêcher Windows de mettre à jour automatiquement les certificats racine.
Si vos stratégies de groupe ne s’appliquent pas, vérifiez cette clé de registre :
Get-ItemProperty -Path 'HKLM:\Software\Policies\Microsoft\SystemCertificates\AuthRoot' -Name DisableRootAutoUpdate
Si la valeur affichée est « 1 », la mise à jour automatique est désactivée. Remplacez-la par « 0 » pour la réactiver. Bien sûr, si cela vous paraît compliqué, retenez simplement que Windows gère généralement les mises à jour automatiquement, sauf si vous lui indiquez de ne pas le faire.
Obtention manuelle de certificats racine de confiance à l’aide de Certutil
C’est plutôt pratique dans les environnements sans connexion Internet. L’ outil en ligne de commande certutil.exe permet de récupérer les certificats racine de confiance les plus récents via Windows Update, puis de les enregistrer dans un fichier. Sur une machine connectée à Internet, exécutez cette commande en tant qu’administrateur :
certutil.exe -generateSSTFromWU C:\Path\roots.sst
Cela crée un fichier nommé roots.sst, qui contient tous les certificats racines de confiance récupérés par Windows. Vous pouvez double-cliquer sur ce fichier pour afficher les certificats stockés ou le déployer sur d’autres machines. Astuce : au lieu d’exporter les certificats individuellement, utilisez :
certutil -syncWithWU
Cela synchronise le magasin local avec la dernière version de Microsoft, qui peut ensuite être exportée ou utilisée comme script pour mettre à jour d’autres systèmes.
Sur des machines autonomes ou des serveurs, il peut être plus simple de déployer ce fichier SST manuellement ou via une stratégie de groupe (GPO).Avec PowerShell, vous pouvez installer tous les certificats du fichier SST en une seule fois :
$sst = Get-ChildItem -Path C:\Path\roots.sst; $sst | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
Cela peut augmenter assez rapidement le nombre de vos racines de confiance, par exemple d’une douzaine environ par défaut à des centaines.
Comprendre la liste de confiance des certificats (CTL)
La liste de certificats de confiance (CTL) ne contient pas les certificats eux-mêmes, mais leurs hachages et métadonnées, signés par Microsoft. Windows télécharge ce fichier CTL périodiquement (environ deux fois par mois) depuis un site Microsoft ( lien ici ), le décompresse et met à jour ses racines de confiance en conséquence. Vous pouvez télécharger manuellement ce fichier CAB, extraire le fichier authroot.stl et l’importer certutil -addstore "Root" path\authroot.stl. Ainsi, même sans Windows Update, la liste de confiance reste à jour. Veillez simplement à télécharger régulièrement la dernière version pour maintenir la synchronisation.
Mise à jour des certificats racine dans des environnements isolés
Si vous êtes confiné dans un réseau totalement isolé, comme dans certaines configurations d’entreprise strictes, vous devrez maintenir manuellement votre liste de certificats racines à jour. L’astuce consiste à télécharger la dernière version de SST à l’aide d’un ordinateur connecté à Internet, puis à copier ce fichier sur le réseau isolé via une clé USB ou un dossier partagé. Ensuite, utilisez à nouveau certutil pour l’importer.
certutil -addstore -f Root path\roots.sst
Sinon, si vous avez configuré un lecteur réseau partagé accessible à toutes vos machines isolées, vous pouvez automatiser le déploiement via une stratégie de groupe (GPO) en modifiant la clé de registre RootDirURL et en la faisant pointer vers votre dossier partagé. Les ordinateurs pourront alors récupérer et mettre à jour les répertoires racines à partir de cet emplacement.
Mise à jour des certificats racine sous Windows 7 et XP
Oui, Windows 7 est encore utilisé de temps à autre, mais son support par Microsoft est devenu problématique. Pour obtenir les certificats racine les plus récents sous Windows 7, installez la mise à jour KB2813430 (qui permet la mise à jour des certificats de confiance sur les machines hors ligne).Une fois installée, générez votre fichier SST avec :
certutil.exe -generateSSTFromWU c:\ps\roots.sst
Importez maintenant le fichier SST dans le composant logiciel enfichable Certificats de la console MMC, sous Autorités de certification racines de confiance. Sous XP, si vous êtes courageux, vous pouvez essayer l’ancien outil rootsupd.exe, mais attention : ces mises à jour sont désormais anciennes et l’outil lui-même peut être obsolète ou non pris en charge. Il est préférable d’utiliser certutil et de générer/mettre à jour le fichier sur un système Windows plus récent, puis de le réimporter.
En effet, la mise à jour des clés racine de confiance peut s’avérer complexe, notamment dans les environnements déconnectés. Toutefois, grâce à une combinaison de commandes certutil, d’importations manuelles et d’une gestion rigoureuse, c’est tout à fait faisable – et essentiel pour garantir le bon fonctionnement et la sécurité des flux SSL.
Résumé
- Utilisez mmc.exe pour consulter vos certificats racines de confiance actuels.
- Désactivez les mises à jour automatiques en mode hors ligne via une stratégie de groupe ou une modification du registre.
- Récupérez les dernières racines avec certutil.exe -generateSSTFromWU sur une machine en ligne.
- Déployez le fichier SST manuellement ou via une stratégie de groupe (GPO) si nécessaire.
- Comprendre les fichiers CTL pour une gestion de confiance plus avancée.
Conclure
Mettre à jour les certificats racine sans accès à Internet n’est pas chose simple, mais c’est possible. L’astuce consiste à récupérer les données les plus récentes depuis une machine connectée, puis à les diffuser avec précaution vers les machines hors ligne. Ce n’est pas très élégant, mais c’est indispensable dans certaines configurations. Espérons que cela permette de gagner du temps et d’éviter des frustrations à ceux qui doivent composer avec des restrictions réseau strictes. Croisons les doigts pour que cela contribue à la solidité de votre chaîne de confiance.