Gdzie uzyskać certyfikaty głównego urzędu certyfikacji dla systemu Windows Server, skoro Microsoft już ich nie aktualizuje?

Microsoft usunął aktualizacje głównego urzędu certyfikacji z WSUS w styczniu 2013 r. Mam teraz kilka nowych instalacji systemu Windows Server 2012, które mają niewystarczający zestaw głównych urzędów certyfikacji (w zasadzie tylko własne urzędy certyfikacji Microsoft). Oznacza to, że za każdym razem, gdy nasza aplikacja wywołuje usługę internetową https, zawiedzie, chyba że specjalnie zainstaluję główny urząd certyfikacji.

Ponieważ nasza aplikacja korzysta z zakończenia SSL w module równoważenia obciążenia, nie muszę się martwić ograniczeniem SChannel 16 KB, które skłoniło Microsoft do usunięcia tych aktualizacji. Chciałbym znaleźć zasób do zainstalowania i zaktualizowania standardowych głównych urzędów certyfikacji. Czy ktoś wie o takim zasobie?

Oto obraz domyślnych głównych urzędów certyfikacji w WS2012.

Wygląda na to, że wynika to z nieparzystego obiektu zasad grupy, którego używa moja firma.

Jak opisano tutaj, ustawienie GPO Konfiguracja komputera \ Szablony administracyjne \ System \ Zarządzanie komunikacją internetową \ Wyłącz automatyczną aktualizację certyfikatów głównych zostało włączone , co oznacza, że ​​system operacyjny nie będzie pobierał głównych urzędów certyfikacji z firmy Microsoft. Ustawienie tego na Wyłączone rozwiązało problem.

Stwierdziliśmy, że główne urzędy certyfikacji były nieaktualne na niektórych naszych serwerach z systemem Windows 2012 R2.

Po zbadaniu tego wydaje się, że Microsoft wydał łatkę, która zapewnia funkcję „ Kontrolowanie funkcji aktualizacji certyfikatów głównych w celu zapobiegania przepływowi informacji do iz Internetu ” ( artykuł w KB ).

Ta poprawka wprowadza nowe klucze rejestru w celu powstrzymania aktualizacji systemu Windows przed aktualizacją głównych urzędów certyfikacji wraz z innymi funkcjami.

Ustawienie następującego klucza rejestru na 0 rozwiązuje problem. Certyfikaty zaczynają się instalować natychmiast po zmianie.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Chociaż widzę, że administratorzy mogą chcieć kontrolować swoje komputery przed aktualizacją bez ich zgody, myślę, że nie zezwalanie na aktualizację głównych urzędów certyfikacji jest przypadkiem na krawędzi, który może powodować więcej problemów, które naprawia, i nie wiem jeszcze, dlaczego klucz rejestru został ustawiony na naszych serwerach.

Omówiono te klucze rejestru i inne rzeczy, które możesz zrobić na serwerach Windows 2012 R2 tutaj

Jeśli nikt inny tego nie powie, zrobię to. Microsoft spieprzył lata temu i opublikował aktualizację do zaufanych głównych urzędów certyfikacji, która złamała każdą maszynę, która miała szczęście, że dostała tę aktualizację przed pobraniem aktualizacji przez Microsoft. Do dziś wciąż mam do czynienia z tym problemem.

Ponieważ rozumiem konsekwencje dla bezpieczeństwa, nie udostępniam bezpośrednich linków do tych problemów. Zamiast tego szuka się w Google, aby znaleźć powiązane informacje:

Aktualizacja KB3004394 psuje certyfikat główny w systemie Windows 7 / Windows Server 2008 R2

Microsoft wydaje łatkę „Silver Bullet” KB 3024777, aby wyeliminować KB 3004394

A ten, którego doświadczyłem i do dziś powoduje niezliczone problemy:

Problemy z komunikacją SSL / TLS po zainstalowaniu KB 931125

W tym pakiecie zainstalowano ponad 330 zewnętrznych urzędów certyfikacji. Obecnie maksymalny rozmiar listy zaufanych urzędów certyfikacji obsługiwany przez pakiet zabezpieczeń Schannel wynosi 16 kilobajtów (KB). Posiadanie dużej liczby zewnętrznych urzędów certyfikacji przekroczy limit 16k i wystąpią problemy z komunikacją TLS / SSL.

Innym powodem jest to, że Microsoft nie ufał wielu głównym urzędom certyfikacji na przestrzeni lat. Leniwi administratorzy po prostu wyłączą tę funkcję na swoich serwerach intranetowych i nigdy nie rozwiążą problemu roota - ponowne podpisywanie wszystkiego, co nie jest już zaufane.

W każdym razie prostą odpowiedzią jest użycie innego certyfikatu do podpisywania kodu.