Gdzie uzyskać certyfikaty głównego urzędu certyfikacji dla systemu Windows Server, skoro Microsoft już ich nie aktualizuje?

12

Microsoft usunął aktualizacje głównego urzędu certyfikacji z WSUS w styczniu 2013 r. Mam teraz kilka nowych instalacji systemu Windows Server 2012, które mają niewystarczający zestaw głównych urzędów certyfikacji (w zasadzie tylko własne urzędy certyfikacji Microsoft). Oznacza to, że za każdym razem, gdy nasza aplikacja wywołuje usługę internetową https, zawiedzie, chyba że specjalnie zainstaluję główny urząd certyfikacji.

Ponieważ nasza aplikacja korzysta z zakończenia SSL w module równoważenia obciążenia, nie muszę się martwić ograniczeniem SChannel 16 KB, które skłoniło Microsoft do usunięcia tych aktualizacji. Chciałbym znaleźć zasób do zainstalowania i zaktualizowania standardowych głównych urzędów certyfikacji. Czy ktoś wie o takim zasobie?

Oto obraz domyślnych głównych urzędów certyfikacji w WS2012. domyślne główne urzędy certyfikacji WS2012

pdubs
źródło
4
Zaraz, naprawdę? Nie zapewniają już podstawowego zestawu zaufanych urzędów certyfikacji ze świeżymi instalacjami? To wydaje się ... mylone.
Shane Madden
3
Czytałem ten artykuł i dotyczy on głównie XP / 2003 i poniżej, prawda? Vista / 2808 i nowsze wersje używają innej metody do automatycznej aktualizacji swoich rootów. Metodę można przypuszczalnie kontrolować za pomocą zasad grupy. Sądzę, że jest on wyłączony w 2012 roku, ale czy można go włączyć? - Zobacz technet.microsoft.com/en-us/library/cc733922(v=ws.10).aspx i technet.microsoft.com/en-us/library/…
Zoredache
@Zoredache Dobre połączenie w ustawieniach GPO. Wygląda na to, że nadal jest dostępny w WS2012. Jeśli napiszesz to jako odpowiedź, zaakceptuję to.
pdubs
Śmiało i odpowiedz na pytanie, jeśli to Ci odpowiada. Naprawdę nie lubię udzielać odpowiedzi, gdy naprawdę mam tylko niejasny pomysł i nie ma dobrego sposobu na przetestowanie / skopiowanie.
Zoredache

Odpowiedzi:

10

Wygląda na to, że wynika to z nieparzystego obiektu zasad grupy, którego używa moja firma.

Jak opisano tutaj, ustawienie GPO Konfiguracja komputera \ Szablony administracyjne \ System \ Zarządzanie komunikacją internetową \ Wyłącz automatyczną aktualizację certyfikatów głównych zostało włączone , co oznacza, że ​​system operacyjny nie będzie pobierał głównych urzędów certyfikacji z firmy Microsoft. Ustawienie tego na Wyłączone rozwiązało problem.

pdubs
źródło
5

Stwierdziliśmy, że główne urzędy certyfikacji były nieaktualne na niektórych naszych serwerach z systemem Windows 2012 R2.

Po zbadaniu tego wydaje się, że Microsoft wydał łatkę, która zapewnia funkcję „ Kontrolowanie funkcji aktualizacji certyfikatów głównych w celu zapobiegania przepływowi informacji do iz Internetu ” ( artykuł w KB ).

Ta poprawka wprowadza nowe klucze rejestru w celu powstrzymania aktualizacji systemu Windows przed aktualizacją głównych urzędów certyfikacji wraz z innymi funkcjami.

Ustawienie następującego klucza rejestru na 0 rozwiązuje problem. Certyfikaty zaczynają się instalować natychmiast po zmianie.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Chociaż widzę, że administratorzy mogą chcieć kontrolować swoje komputery przed aktualizacją bez ich zgody, myślę, że nie zezwalanie na aktualizację głównych urzędów certyfikacji jest przypadkiem na krawędzi, który może powodować więcej problemów, które naprawia, i nie wiem jeszcze, dlaczego klucz rejestru został ustawiony na naszych serwerach.

Omówiono te klucze rejestru i inne rzeczy, które możesz zrobić na serwerach Windows 2012 R2 tutaj

CarlR
źródło
0

Jeśli nikt inny tego nie powie, zrobię to. Microsoft spieprzył lata temu i opublikował aktualizację do zaufanych głównych urzędów certyfikacji, która złamała każdą maszynę, która miała szczęście, że dostała tę aktualizację przed pobraniem aktualizacji przez Microsoft. Do dziś wciąż mam do czynienia z tym problemem.

Ponieważ rozumiem konsekwencje dla bezpieczeństwa, nie udostępniam bezpośrednich linków do tych problemów. Zamiast tego szuka się w Google, aby znaleźć powiązane informacje:

Aktualizacja KB3004394 psuje certyfikat główny w systemie Windows 7 / Windows Server 2008 R2

Microsoft wydaje łatkę „Silver Bullet” KB 3024777, aby wyeliminować KB 3004394

A ten, którego doświadczyłem i do dziś powoduje niezliczone problemy:

Problemy z komunikacją SSL / TLS po zainstalowaniu KB 931125

W tym pakiecie zainstalowano ponad 330 zewnętrznych urzędów certyfikacji. Obecnie maksymalny rozmiar listy zaufanych urzędów certyfikacji obsługiwany przez pakiet zabezpieczeń Schannel wynosi 16 kilobajtów (KB). Posiadanie dużej liczby zewnętrznych urzędów certyfikacji przekroczy limit 16k i wystąpią problemy z komunikacją TLS / SSL.

Innym powodem jest to, że Microsoft nie ufał wielu głównym urzędom certyfikacji na przestrzeni lat. Leniwi administratorzy po prostu wyłączą tę funkcję na swoich serwerach intranetowych i nigdy nie rozwiążą problemu roota - ponowne podpisywanie wszystkiego, co nie jest już zaufane.

W każdym razie prostą odpowiedzią jest użycie innego certyfikatu do podpisywania kodu.

Edwin
źródło