forums.wsusoffline.net

Hallo,

auf meinen Windows-7-Rechnern sagt der Update-Generator "Ihre Liste vertrauenswürder Stammzertifikate ist nicht aktuell. Möchten Sie sie nun aktualisieren?", wofür Admin-Rechte verlangt werden.
Warum, ist das etwas ähnliches wie hier?
viewtopic.php?f=3&t=1994&p=6862

Ich bin etwas skeptisch, mir für den reinen Download hier noch so etwas zentrales installieren zu müssen, obwohl diese PCs mit Windows-Update schon auf dem aktuellen Stand sind.

Danke für die Aufklärung im voraus!

Normalerweise hält Windows seine Liste der Stammzertificate (root certificates) selbst aktuell. In diesem Fall scheint dieser Mechanismus versagt zu haben. Die korrekte Funktion von WSUSOU kann ohne aktualle (Microsoft-)Zertifikate nicht garantiert werden (Signaturcheck). Deshalb ist es ratsam, dieses Update durchzuführen. Hinweis: Es wird nichts installiert, nur der Zertifikat-Store aktualisiert und dies in der Registry vermerkt.

Genau dieses Update wird durch den UpdateGenerator dann auch installiert. Es ist in der Vergangenheit öfter vorgekommen, dass Signaturvalidierungen ohne ersichtlichen Grund fehlgeschlagen sind, und dieses Fehlverhalten durch die simple Installation dieses Updates behoben werden konnte. Jedoch wird es seit Vista nicht mehr über Windows Update angeboten, sodass es bei Bedarf manuell installiert werden muss.

Viele Grüße

Außer Windows Update läuft auf meinem PC noch der PSI Software Inspector zum Prüfen auf aktuelle Versionen, aber der dürfte hoffentlich bei den Zertifikaten keine Probleme bereiten.

Mit "installiert" meinte ich, dass auf dem herunterladenden PC etwas außerhalb des WSUS-Verzeichnisses verändert wird - und darum handelt es sich ja beim Zertifikate-Store sowie der Registry. Und das möchte ich in diesem Fall nicht, der Download-Rechner soll unangetastet bleiben.

Leider führt der Verzicht auf das Update dann wohl zu einem "File integrity verification failure" (hashdeep64.exe).

Woher zieht er sich denn die neuen Zertifikate?

Das sind offizielle Aktualisierungsdateien von Microsoft, sowohl die vertrauenswürdigen als auch die zurückgezogenen Zertifikate werden bei Bedarf aktualisiert.

http://www.download.windowsupdate.com/m ... otsupd.exe
http://download.microsoft.com/download/ ... kroots.exe

vgl. .\static\StaticDownloadLinks-win-x86-glb.txt und .\cmd\CheckTRCerts.cmd

Viele Grüße

Ah. Das Verhalten von Windows hinsichtlich der Root-Zertifikate ist anscheinend insgesamt etwas fragwürdig:
http://www.heise.de/ct/artikel/Microsof ... 21730.html

Aber hier für WSUS versucht Windows ja gar nicht, unter der Haube ein neues Zertifikat einzeln nachzuladen. Naja, gut.
"Ohne sichtbare Grund..." passt, aker.