FixPedia
Windows

Обновление сертификатов Windows: пошаговая инструкция для безопасности

Узнайте, как вручную и автоматически обновлять сертификаты доверенных центров в Windows. Гайд поможет устранить ошибки подключения к защищённым сайтам и восстановить работу приложений.

Обновлено 6 апреля 2026 г.
5-10 мин
Средняя
FixPedia Team
Применимо к:Windows 10 (21H2 и новее)Windows 11 (22H2 и новее)Windows Server 2019 / 2022

Зачем это нужно

Сертификаты безопасности выступают цифровым удостоверением для сайтов, приложений и системных служб. Когда локальное хранилище доверенных корневых центров в Windows устаревает, браузеры начинают блокировать доступ к ресурсам по протоколу HTTPS, а корпоративные приложения могут отказываться подключаться к серверам. Выполнение этого гайда обновит список валидных центров сертификации, устранит ложные предупреждения безопасности и восстановит стабильное шифрование трафика.

Требования и подготовка

Перед началом убедитесь, что ваша учётная запись входит в группу администраторов. Вам потребуется стабильное подключение к интернету для загрузки новых записей с серверов Microsoft. Рекомендуется создать точку восстановления системы или записать текущие важные параметры, так как работа с криптографическими хранилищами затрагивает системные компоненты.

💡 Совет: Все команды ниже выполняйте в PowerShell или командной строке, запущенной от имени администратора. Без повышенных привилегий операции импорта завершатся ошибкой доступа.

Шаг 1: Диагностика текущего состояния

Сначала проверим, что именно хранится в вашей системе. Откройте меню «Пуск», введите certmgr.msc и нажмите Enter. В открывшемся окне разверните ветку Доверенные корневые центры сертификацииСертификаты. Обратите внимание на столбцы «Дата окончания» и «Назначение». Если большинство записей просрочены или отсутствуют, переходим к обновлению.

Для быстрой проверки через консоль выполните:

# Выводит сертификаты из локального хранилища автообновления
Get-ChildItem -Path Cert:\LocalMachine\AuthRoot | Select-Object Subject, NotAfter, NotBefore | Sort-Object NotAfter | Select-Object -Last 5

Если вывод пуст или содержит записи старше 2023 года, хранилище требует принудительного обновления.

Шаг 2: Стандартное обновление через Центр обновлений

Microsoft распространяет обновления списков доверенных центров через механизмы Windows Update. Это самый безопасный и предпочтительный способ.

  1. Откройте Параметры (Win + I) → Центр обновления Windows (или «Обновление и безопасность» в Windows 10).
  2. Нажмите Проверить наличие обновлений.
  3. Дождитесь установки всех доступных пакетов, особенно тех, что содержат пометку «Security Intelligence Update» или «Обновление корневых сертификатов».
  4. Перезагрузите компьютер.

Шаг 3: Принудительная загрузка через certutil

Если автоматический способ не сработал или система находится в изолированном сегменте сети, используйте встроенную утилиту certutil. Она напрямую скачивает актуальный список из репозитория Windows Update.

Создайте временную папку, чтобы избежать проблем с правами:

# Переходим во временную директорию
Set-Location -Path $env:TEMP

# Загружаем актуальный список сертификатов в файл roots.sst
certutil -generateSSTFromWU roots.sst

Команда создаст файл roots.sst, содержащий все доверенные корневые центры. Если процесс завершится с кодом 0x80072ee2, проверьте доступность серверов Windows Update и отключите на время прокси-сервер.

Шаг 4: Импорт и активация

Загруженный файл необходимо интегрировать в системное хранилище.

  1. Снова запустите certmgr.msc.
  2. Перейдите в Доверенные корневые центры сертификацииСертификаты.
  3. Кликните правой кнопкой мыши по пустому месту в правой панели → Все задачиИмпорт.
  4. В мастере импорта укажите путь к созданному ранее roots.sst и продолжите установку, используя параметры по умолчанию.
  5. При запросе подтверждения безопасности нажмите Да, чтобы разрешить добавление новых записей в хранилище.

После завершения мастер автоматически обновит реестр и кэш криптографических служб. Дополнительные манипуляции с реестром не требуются.

Проверка результата

Убедиться в успешном применении изменений можно несколькими способами:

  • Откройте браузер и перейдите на ресурс с HTTPS-соединением (например, https://www.cloudflare.com). Нажмите на значок замка в адресной строке — в свойствах должен отображаться действующий сертификат без предупреждений об истечении срока.
  • Выполните в PowerShell тестовый запрос:
# Проверяет TLS-рукопожатие без отключения проверок сертификатов
Invoke-WebRequest -Uri "https://www.microsoft.com" -UseBasicParsing -Method Head

Если в выводе присутствует StatusCode: 200 и отсутствуют предупреждения The underlying connection was closed, обновление прошло успешно.

Возможные проблемы

  • Ошибка 0x80090016 при импорте: Хранилище повреждено или заблокировано сторонним антивирусом. Отключите модуль сетевой защиты антивируса на 2 минуты и повторите шаг импорта вручную.
  • Браузер по-прежнему показывает ошибку NET::ERR_CERT_AUTHORITY_INVALID: Очистите кэш SSL в браузере. В Chrome/Edge это делается через НастройкиКонфиденциальность и безопасностьОчистить данные → отметка Файлы cookie и другие данные сайтов и Кэшированные изображения.
  • certutil возвращает пустой файл roots.sst: Проверьте, не заблокирован ли порт 80/443 корпоративным фаерволом. В таком случае запросите файл обновления у системного администратора или используйте офлайн-обновление KB через каталог Microsoft Update.

Часто задаваемые вопросы

Почему в Windows появляются устаревшие корневые сертификаты?
Можно ли отключить автоматическое обновление сертификатов?
Что делать, если браузер всё равно ругается на сертификат сайта после обновления?

Полезное

Проверка текущего состояния хранилища
Автоматическое обновление через Центр обновлений
Принудительная загрузка через утилиту certutil
Импорт и активация новых записей

Эта статья помогла вам решить проблему?