Hoe u vertrouwde rootcertificaten in Windows beheert
Soms kunnen updates of zelfs gewoon browsen fouten opleveren over ontbrekende rootcertificaten, zoals fout 0x800b010a. Dit is behoorlijk vervelend omdat het de toegang blokkeert of vertrouwensproblemen veroorzaakt met bepaalde websites of apps. Eerlijk gezegd komen deze problemen vaker voor dan je denkt, vooral na Windows-updates of als sommige certificaten beschadigd raken. Als je hiermee te maken krijgt, is het een goed idee om je vertrouwde rootcertificaten te controleren of indien nodig nieuwe toe te voegen. Het handmatig beheren van deze certificaten kan je veel hoofdpijn besparen, vooral als bepaalde software of websites een bepaalde autoriteit die je mist, willen vertrouwen. Laten we daarom eens kijken hoe je dit kunt oplossen, of het nu gaat om het installeren van nieuwe certificaten of het beheren van bestaande certificaten, waarbij we ons richten op praktische zaken die in de praktijk echt werken.
Problemen met vertrouwde rootcertificaten in Windows oplossen
Download en installeer de juiste vertrouwde rootcertificaten
Begin met het downloaden van het register of CA-certificaat van een vertrouwde bron. De officiële documentatie van Microsoft is een goede plek: het installeren van deze certificaten via PowerShell is erg handig voor geautomatiseerde installaties. Als u het liever handmatig doet, kunt u het ook als volgt doen:
- Bezoek de website van uw CA-provider of de officiële lijst met root-CA’s, zoals IdenTrust.
- Download het CA-certificaat, meestal in Base64 (PEM)-formaat. Zoek naar een link met het label ‘CA-certificaat downloaden’ of iets dergelijks.
- Open het gedownloade bestand. De wizard Certificaat importeren zou moeten verschijnen. Zo niet, dubbelklik er dan handmatig op.
- Klik op Certificaat installeren…. Wanneer de wizard verschijnt, klikt u op Volgende.
- Selecteer Alle certificaten in het onderstaande archief opslaan en selecteer Vertrouwde basiscertificeringsinstanties.
- Voltooi de wizard, klik op Ja als UAC daarom vraagt en wacht tot er een groen vinkje verschijnt.
Let op: Soms lijkt het importproces op bepaalde machines vast te lopen of te mislukken. Als dat het geval is, helpt opnieuw opstarten. Windows moet dan de vertrouwde opslag vernieuwen, en het werkt meestal gewoon opnieuw proberen na een herstart.
Vertrouwde rootcertificaten handmatig aan Windows toevoegen
Hier wordt het wat lastig, maar het is te doen, zelfs als je geen beveiligingsexpert bent. Open de MMC: druk op Windows + Xen selecteer Uitvoeren. Typ mmcen druk op Enter. Klik op Ja wanneer UAC vraagt.
- Ga naar Bestand > Snap-in toevoegen/verwijderen. U kunt ook op Ctrl+M drukken.
- Zoek in de lijst naar Certificaten. Klik erop en druk op Toevoegen.
- Selecteer Computeraccount en klik op Volgende. Kies Lokale computer en klik op Voltooien.
- Terug in het hoofdvenster van de MMC ziet u Certificaten (Lokale computer) onder de console root.
- Om een nieuw rootcertificaat toe te voegen, gaat u naar Bestand en vervolgens naar Snap-in toevoegen/verwijderen. Kies deze keer voor de Groepsbeleidsobjecteditor. Deze is geavanceerder, maar handig voor het beheren van vertrouwde roots op grote schaal.
- Typ Lokale computer, klik op Voltooien en navigeer hierheen:
Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Public Key PoliciesDubbelklik op Instellingen voor certificaatpadvalidatie. Ga naar het tabblad Opslaglocaties en schakel het selectievakje naast Deze beleidsinstellingen definiëren in. Vink daar de vakjes onder Certificaatopslaglocaties per gebruiker aan.
Scroll ten slotte naar beneden naar het gedeelte Root-certificaatarchieven. Selecteer Root-CA’s van derden en Enterprise Root-CA’s (aanbevolen). Klik op Toepassen en OK.
Deze truc reset het vertrouwensbeleid, zodat Windows je toegevoegde roots correct herkent. Vreemd: in sommige configuraties blijven wijzigingen pas volledig behouden na een herstart of een uitlog-/inlogcyclus. Hoe dan ook, het is de moeite waard om te proberen als eenvoudige imports niet hebben gewerkt.
Bestaande vertrouwde roots in Windows beheren
Om nauwkeurig af te stemmen wat Windows vertrouwt, moet u opnieuw naar de MMC gaan. Open Uitvoeren, typ
mmcen voeg de module Certificaten toe voor het computeraccount, net zoals eerder.- Ga naar Bestand > Module toevoegen/verwijderen. Selecteer Groepsbeleidsobjecteditor als u beleid op de hele pc wilt beheren.
- Navigeer door:
Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Public Key Policies > Certificate Path Validation Settings. - Klik op Winkels. Hier ziet u alle opties voor truststores.
- Schakel ‘Deze beleidsinstellingen definiëren’ in en selecteer ‘Certificaatopslag per gebruiker’. Vink ook het vakje ‘ Basis-CA’s van derden’ aan.
- Zorg ervoor dat de keuzerond bij Root-certificaatopslag is ingesteld op ‘Derden’ om te voorkomen dat u dubieuze roots vertrouwt.
- Klik op Toepassen en OK.
Houd er rekening mee dat het opschonen van oude of ongeldige root-certificaten vertrouwensproblemen kan verminderen en de beveiliging kan verbeteren. Wees echter voorzichtig: het verwijderen van de verkeerde certificaten kan sommige apps of websites onbruikbaar maken.
Ja, dit hele proces klinkt in eerste instantie misschien wat overdreven, maar in gevallen waar vertrouwensfouten gewoon niet weggaan, helpen deze stappen om alles weer synchroon te krijgen. Eerlijk gezegd hoort het beheren van roots niet bij het dagelijks gebruik te horen, maar soms moet je de handen uit de mouwen steken.
Samenvatting
- Download en installeer ontbrekende root-CA-certificaten van vertrouwde bronnen.
- Gebruik MMC om indien nodig handmatig nieuwe rootcertificaten toe te voegen.
- Beheer vertrouwensbeleid via Groepsbeleid of MMC voor uitgebreidere controle.
- Start het systeem opnieuw op of meld u opnieuw aan als de wijzigingen niet meteen worden doorgevoerd. Soms vernieuwt Windows de vertrouwensarchieven niet meteen.
Afronding
Dit lijkt misschien allemaal wat ingewikkeld met wat vallen en opstaan, maar het oplossen van problemen met rootcertificaten is met een beetje geduld prima te doen. Meestal is het gewoon een kwestie van het toevoegen van de ontbrekende certificaten of het corrigeren van verkeerd geconfigureerde beleidsregels. Zodra dat is opgelost, verdwijnen vertrouwensfouten meestal en werkt alles weer normaal. Hopelijk voorkomt dit de eindeloze hoofdpijn die certificaatfouten kunnen veroorzaken. Succes!