윈도우 인증서 관련 삭제 서명인증서 명령어 오래된 인증서 삭제

[동우]

https://www.digicert.com/support/tools/certificate-utility-for-windows    

https://adamtheautomator.com/windows-certificate-manager/

https://serverfault.com/questions/916553/delete-windows-certificate-from-powershell-or-cmd

PS C:\Windows\system32> dir cert:\
Location   : CurrentUser
StoreNames : {TrustedPublisher, ClientAuthIssuer, Root, UserDS...}

Location   : LocalMachine
StoreNames : {TestSignRoot, ClientAuthIssuer, Root, TrustedDevices...}

PS C:\Windows\system32> dir cert:\LocalMachine

gci cert:"\LocalMachine\Windows Live ID Token Issuer" | Remove-Item

통채로 삭제는 되지만 다시 생성된다. Windows Live ID Token Issuer 자체가 사라지는건 아니다.

참고: Windows Live ID Token Issuer 는 삭제 하시면 안됩니다 ms에서 제공 하는 서비스에요.

그냥 보여 드리기 위해서 작성 한거랍니다.

https://docs.microsoft.com/ko-kr/powershell/module/microsoft.powershell.security/about/about_certificate_provider?view=powershell-7.2    

Set-Location Cert:

# 진입

PS Cert:\> Get-ChildItem

# 인증서의 내용 표시: 드라이브

Location   : CurrentUser
StoreNames : {TrustedPublisher, ClientAuthIssuer, Root, UserDS...}

Location   : LocalMachine
StoreNames : {TestSignRoot, ClientAuthIssuer, Root, TrustedDevices...}

Get-ChildItem -Path cert: -CodeSigningCert -Recurse

#모든 인증서 찾기

Get-ChildItem -Path cert:"\LocalMachine\Windows Live ID Token Issuer" -ExpiringInDays 30

#완료된 인증서 찾기 한대 출력은 안된다.

Get-ChildItem -Path cert:\* ` -ExpiringInDays 0

Get-ChildItem -Path cert:\LocalMachine -DnsName *Fabrikam* | Remove-Item

# DNS 이름에서 와일드카드를 사용하여 인증서 삭제

$expired = Get-ChildItem cert:\* ` -ExpiringInDays 0

$expired | Remove-Item -DeleteKey

$expired = Get-ChildItem cert:\LocalMachine\* ` -ExpiringInDays 0

# 만료된 인증서 삭제 한대 삭제는 안된다 ㅠ

Set-Location C:

# 다시 나오기

여기서 부터 보시면 되네요.

https://youtu.be/8eGNyS4f884

https://stackoverflow.com/questions/50052681/get-certificate-expiration-date-powershell

Set-Location Cert:

# 진입.. 진입이 되어 있어야 한다

$expired = Get-ChildItem cert:\* ` -recurse -ExpiringInDays 0
$expired | Remove-Item -DeleteKey

# 이렇게 하면 삭제에 성공 할수 있다 일괄 삭제 가능 만료된 인증서 모두 삭제

# 지우시고 먼가 안되면 부팅을 다시 하시면 되네요 정상적인 것들은 자동으로 깔리네요.

Set-Location C:

# 다시 나오기

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates

경로 아래 삭제 관리 하면 된다.(삭제 하지 마세요 전문가가 아니면)

http://woshub.com/updating-trusted-root-certificates-in-windows-10/
http://woshub.com/how-to-check-trusted-root-certification-authorities-for-suspicious-certs/
https://docs.microsoft.com/ko-kr/sysinternals/downloads/sigcheck

echo cmd에서 관리자 권한으로 해야 한다 의심 스러운 인증서 삭제

https://youtu.be/8eGNyS4f884?t=42 

sigcheck64.exe –tv 

echo 파워쉘에서 실행 할때.

.\sigcheck64.exe -tv

https://www.reddit.com/r/PowerShell/comments/jlgzd5/removing_certificate_thumbprint_with_powershell/   

삭제 방법 Thumbprint: 부분을 적으면 된다.

Get-ChildItem Cert:\LocalMachine\Root\c843721cbc3ad29910e1f31c99361eedceb6ddds | Remove-Item

Get-ChildItem Cert:\LocalMachine\Root\??? | Remove-Item

# 지우시고 먼가 안되면 부팅을 다시 하시면 되네요 정상적인 것들은 자동으로 깔리네요.

# ??? 부분을 지우고 자신의 수상한 인증서를 등록 하시면 되네요 출력 되는 애들이 이상한 애들이에요.

https://docs.microsoft.com/en-us/answers/questions/691536/deleting-expired-certificate.html

https://docs.microsoft.com/en-US/troubleshoot/windows-server/windows-security/decommission-enterprise-certification-authority-and-remove-objects    

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771494(v=ws.11)?redirectedfrom=MSDN   

certutil -delkey CertificateAuthorityName

# 연결된 개인키 삭제.

기타 불량한 인증서 차단 하는 방법

https://github.com/asheroto/Root-Certificate-Updater/issues/9

https://support.microsoft.com/en-us/topic/an-automatic-updater-of-untrusted-certificates-is-available-for-windows-vista-windows-server-2008-windows-7-and-windows-server-2008-r2-117bc163-d9e0-63ad-5a79-e61f38be8b77

등록 방법 

https://youtu.be/8eGNyS4f884?t=302  

신뢰 할수 없는 인증서 목록 등록 하는 방법. 즉 불량한 악성 인증서 차단 등록 방법.

Set-Location C:

# 기본 위치로 다시 나오기

certutil -urlcache -f http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab authrootstl.cab
certutil -urlcache -f http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab disallowedcertstl.cab

# 다운로드가 안되시는 분들은 파워쉘을 종료 했다가 다시 켜세요 처음 경로가 안 맞아서 그럴꺼에요 PS C:\Windows\system32> 경로여야 합니다.

expand authrootstl.cab -R .\
expand disallowedcertstl.cab -R .\

certutil -addstore -f root authroot.stl
certutil -addstore -f disallowed disallowedcert.stl

# authrootstl.cab 둘다 등록 할 필요는 없고 이건 신뢰 할수 있는 인증서 인대 필요 한 경우만 해도 되네요 

# disallowedcertstl 차단만 등록 해도 충분히 보안이 될듯 할듯 합니다.

# 파일은 업데이트 꾸준히 되고 있나 보내요 ㅎㅎ. 생각 보다 

윈도우 + R 

netplwiz

certmgr.msc 
certlm.msc

의심 되는 인증서 본인이 수동으로 차단 하는 방법

https://youtu.be/8-cDkzq3E6A

차단 결과 Windows Live ID Token Issuer를 뺀 나머지는 모두 차단 되었다는 ㅎㅎ;;

성공이다.

이건 아무래도 시스템이라 차단이 안되는 것 같다. 자체 기능이라서 ㅠㅠ..

https://github.com/asheroto/Root-Certificate-Updater  구차니즘으로 자동 설치 프로그램 만든듯 ㅋ 

https://guidesy.net/ko/windows-11%EC%97%90%EC%84%9C-%EB%A3%A8%ED%8A%B8-%EC%9D%B8%EC%A6%9D%EC%84%9C%EB%A5%BC-%EC%84%A4%EC%B9%98-%EC%97%85%EB%8D%B0%EC%9D%B4%ED%8A%B8%ED%95%98%EB%8A%94-%EB%B0%A9%EB%B2%95    

https://github.com/asheroto/Root-Certificate-Updater/issues/9 여러개 저장 해야 할때.

파일이 여러개인 경우 드래그 해서 암호를 아무 거나 입력 하고 가져 오기 하면 된다. 가져 오기는 

메뉴에서 두번째 아래를 고르면 된다 pk 어쩌구 설명 구차니즘 ㅎ 

인증서 차단 목록 내보내기 가져오기

그래도 혹시나 모르는 컴맹을 위해서 ㅎㅎ 나도 그랬으니 올려 본다. 목록으로 보낼수 있다 하지만 앞서 말한 것 같이

바로 적용 되는 것은 아니다 안보일수도 있으니 적용 하고 프로세스를 컸다 다시 켜보길 바란다. 암호를 필수적으로 입력 해야 한다. 추라적으로 영상속의 인증서들은 차단 하지 마세요 어디 까지나 샘플로 봐주세요 ㅎㅎ 이렇게 여러개 차단 하는 거다 이거죠. 오래된 인증서 같은대 ms에서 배포 하는 건지 차단 하니 컴이 좀 이상하네요 ㅎ 

[동우]

https://docs.microsoft.com/en-us/windows/win32/api/wincrypt/nf-wincrypt-certopenstore

[동우]

https://serverfault.com/questions/916553/delete-windows-certificate-from-powershell-or-cmd
dir cert:\

[동우]

https://stackoverflow.com/questions/50052681/get-certificate-expiration-date-powershell
get-childitem -path cert: -recurse -Expiringindays 30
웹페이지 인증서 지난 기간 날짜 보여준다

[동우]

http://woshub.com/updating-trusted-root-certificates-in-windows-10/
http://woshub.com/how-to-check-trusted-root-certification-authorities-for-suspicious-certs/
https://docs.microsoft.com/ko-kr/sysinternals/downloads/sigcheck

echo cmd에서 해야 한다
sigcheck64.exe –tv

[동우]

https://social.technet.microsoft.com/Forums/ko-KR/7de72f56-461f-408e-adf9-9089de23e843/509524602050864-10-authroot-4792851032-46300475494576845796?forum=win10itprogeneralKR
https://cyberark-customers.force.com/s/article/How-does-the-Reduce-WinCertificate-Wait-Time-step-in-PSM-PostInstallationConfig-xml-work
gpedit.msc 공개키 관련

[동우]

Registry Hive: HKEY_LOCAL_MACHINE
Subkey: \Software\Policies\Microsoft\SystemCertificates\AuthRoot\ https://moonoostar.tistory.com/31

[동우]

https://docs.microsoft.com/en-us/security-updates/securityadvisories/2014/2915720

[동우]

https://www.sysadmins.lv/blog-en/software-restriction-policies-first-steps.aspx

[동우]

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/adding-certificates-to-the-local-certificates-store-and-setting/ba-p/322159

[동우]

https://stackoverflow.com/questions/41916084/how-do-you-find-a-corresponding-registry-value-to-a-setting-in-gpedit-msc

[동우]

https://docs.microsoft.com/en-us/windows/win32/seccrypto/certificate-store-migration

[동우]

CertUtil: -?

[동우]

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731638(v=ws.11)?redirectedfrom=MSDN

[동우]

https://stackoverflow.com/questions/41272865/how-do-i-change-public-key-policies-programmatically
https://docs.microsoft.com/ko-kr/windows/security/threat-protection/windows-security-configuration-framework/security-compliance-toolkit-10
https://www.microsoft.com/download/details.aspx?id=55319 LGPO.EXE 보안 도구를 사용 해야 한다고 한다

[동우]

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn265983(v=ws.11) 신뢰할수 없는 인증서 등록 해야 할 경우.
보안에 위험하니 비추
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate 값 1은 신뢰할 수 있는 CTL의 Windows 자동 업데이트를 비활성화합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdate 값 1은 신뢰할 수 없는 CTL의 Windows 자동 업데이트를 활성화합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrl 공유 위치(HTTP 또는 FILE 경로)를 구성합니다.

[동우]

https://www.elevenforum.com/t/certlm-msc-how-to-block-invalid-signing-certificate-creation.8320/ 해결 안된 문제

[동우]

http://certificate.fyicenter.com/1960_Certificate_Stores_under_LocalMachine_in_Windows_PowerShell.html
파워쉘 Cert: 위치 하기
PS C:\fyicenter> cd Cert:
PS Cert:\> cd .\LocalMachine
PS Cert:\LocalMachine> dir

[동우]

https://support.microsoft.com/en-us/topic/an-update-is-available-that-enables-administrators-to-update-trusted-and-disallowed-ctls-in-disconnected-environments-in-windows-0c51c702-fdcc-f6be-7089-4585fad729d6 기타 인증서 오프라인 다운로드 ms에 접속 안될때 사용 하는 것 같다.
https://support.microsoft.com/en-us/topic/an-automatic-updater-of-untrusted-certificates-is-available-for-windows-vista-windows-server-2008-windows-7-and-windows-server-2008-r2-117bc163-d9e0-63ad-5a79-e61f38be8b77

[동우]

https://www.sysnet.pe.kr/2/0/11988 마이크로소프트가 지정한 모든 Root 인증서를 설치하는 방법