オフライン環境のWindows10端末に対して、WSUS経由でルート証明書、CTLリストの更新、配布できるか調査してみました。というのが、ルート証明書の更新がされずに色々と問題になるケースがあるからですが、OSのバージョンによってこのルート証明書、中間証明書の更新の方法が違っています。
現在は、WindowsUpdateからルート証明書を更新するようですが、WindowsUpdateカタログを見ても、最新のルート証明書は見つかりませんでした。
オフライン、インターネットに接続できない環境の場合、ルート証明書の更新がされないことになりますが、WSUS経由で更新プログラム適用と合わせて実行できるのかということです。
そして、日本のサイトではあんまり情報が見つからず、、、同様の質問が海外のマイクロソフトのフォーラムにありました。
WSUSを使用して証明書の信頼リストを更新する
英語なので機械翻訳していますが、質問内容の抜粋です。
ドメイン内では、GeoTrust DV SSL CA-G4中間証明書がないため、Windows7クライアントで証明書エラーが発生します。
実際、チェーンはそれらのクライアントで信頼されていません。手動でインストールすると問題はなくなりますが、実際にはWindowsUpdateサービスを使用してインストールする方法を探しています。これを行うための特定のWindowsUpdateパッケージはありますか?
今に限ったことではありませんが、ルート証明書が更新されずに問題になることが多いので、WSUS経由で配信できればうれしいのですが・・・。
以下は回答内容です。
ルートCAの所有者がMicrosoftの信頼されたルート証明書プログラムに参加している場合、Microsoft.comに接続できるクライアントマシンは、Microsoftからルート証明書を自動ダウンロードします。これはオンザフライで行われます(たとえば、ブラウザをiTunes.comに向けて、iTunesをダウンロードしたい場合、コンピュータが必要なルート証明書を識別し、MicrosoftTRPリポジトリからそのルートCA証明書を自動的に取得します。 (CAPI2ロギングを有効にすると、CAPI2ログにこれが表示されます)
または、上記の自動アップデーターは、Microsoft.comから定期的にCTLをチェック/取得します。
それ以外の場合は、必要な証明書を手動で展開する必要があります。
とあるように、オフライン環境の場合は、手動で証明書の配布をする必要がありそうです。
こちらについては明言された情報が見つからなかったのですが、信頼されていない証明書の自動更新ツールというものが動作していて、そのツールで更新しているようです。
GPOで「自動ルート証明書の更新をオフにする」という項目がありますが、逆にオフライン環境の場合は、外部に出れずにパフォーマンスに影響がでることがあるので、無効にすることがあります。
ということで、インターネットに接続できない端末は、管理者が手動で必要な証明書をインポートする必要があります。