Moja firma dystrybuuje Instalatora Windows dla produktu opartego na serwerze. Zgodnie z najlepszymi praktykami jest podpisany przy użyciu certyfikatu. Zgodnie z radą Microsoftu korzystamy z certyfikatu podpisywania kodu GlobalSign , który według Microsoft jest domyślnie rozpoznawany przez wszystkie wersje systemu Windows Server.
Teraz wszystko działa dobrze, chyba że serwer został skonfigurowany przy użyciu zasad grupy: Konfiguracja komputera / Szablony administracyjne / System / Zarządzanie komunikacją internetową / Ustawienia komunikacji internetowej / Wyłącz automatyczną aktualizację certyfikatu głównego jako Włączone .
Odkryliśmy, że jeden z naszych wczesnych testerów wersji beta działał z tą konfiguracją, co spowodowało następujący błąd podczas instalacji
Wymaganego pliku nie można zainstalować, ponieważ plik szafki [długa ścieżka do pliku cab] ma nieprawidłowy podpis cyfrowy. Może to oznaczać, że plik szafki jest uszkodzony.
Zapisaliśmy to jako osobliwość, w końcu nikt nie był w stanie wyjaśnić, dlaczego system został tak skonfigurowany. Jednak teraz, gdy oprogramowanie jest dostępne do ogólnego użytku, wydaje się, że dwucyfrowa (procent) naszych klientów jest skonfigurowana z tym ustawieniem i nikt nie wie, dlaczego. Wielu niechętnie zmienia to ustawienie.
Napisaliśmy artykuł z bazy wiedzy dla naszych klientów, ale tak naprawdę nie chcemy, aby problem pojawił się w ogóle, ponieważ zależy nam na zadowoleniu klienta.
Niektóre rzeczy, które zauważyliśmy podczas badania tego:
- Świeża instalacja systemu Windows Server nie wyświetla certyfikatu Globalsign na liście zaufanych organów głównych.
- Gdy Windows Server nie jest podłączony do Internetu, instalacja naszego oprogramowania działa poprawnie. Pod koniec instalacji jest obecny certyfikat Globalsign (nie importowany przez nas). W tle system Windows instaluje go przezroczyście przy pierwszym użyciu.
Oto moje pytanie ponownie. Dlaczego tak często wyłącza się aktualizację certyfikatów głównych? Jakie są potencjalne skutki uboczne ponownego włączenia aktualizacji? Chcę się upewnić, że możemy zapewnić naszym klientom odpowiednie wskazówki.
źródło
Odpowiedzi:
Na przełomie 2012 i 2013 r. Wystąpił problem z automatycznymi aktualizacjami certyfikatów głównych. Tymczasową poprawką było wyłączenie automatycznych aktualizacji, więc częściowo ten problem jest historyczny.
Inną przyczyną jest program Trusted Root Certificate i Root Certificate Distribution, który (parafrazując Microsoft ) ...
Jak dotąd tak dobrze, ale potem ...
Kiedy tak się dzieje, może się wydawać, że certyfikaty są dodawane automatycznie do sklepu Root. Wszystko to denerwuje niektórych sysadminów, ponieważ nie można usunąć „złego” urzędu certyfikacji z narzędzi do zarządzania certyfikatami, ponieważ nie można ich usunąć ...
W rzeczywistości istnieją sposoby, aby system Windows pobierał pełną listę, aby mogli ją edytować według własnego uznania, ale często blokuje się aktualizacje. Ogromna liczba sysadminów nie rozumie szyfrowania ani bezpieczeństwa (ogólnie), więc podąża za otrzymaną mądrością (poprawną lub inną) bez pytania i nie lubi wprowadzać zmian w rzeczach dotyczących bezpieczeństwa, których nie do końca rozumie, uważając to za trochę czarnej sztuki.
źródło
A great number of sysadmins [...] don't like making changes to things involving security that they don't fully understand believing it to be some black art.
Tak. Smutne ale prawdziwe."good with computers"
ponieważ mają najnowsze błyszczące iThings zamiast prawdziwego profesjonalisty.Komponent Automatyczna Aktualizacja certyfikatów głównych przeznaczony jest do automatycznego sprawdzania listy zaufanych urzędów na stronie Microsoft Windows Update w sieci Web. W szczególności na komputerze lokalnym znajduje się lista zaufanych głównych urzędów certyfikacji (CA). Gdy aplikacja zostanie przedstawiona z certyfikatem wydanym przez urząd certyfikacji, sprawdzi lokalną kopię listy zaufanych głównych urzędów certyfikacji. Jeśli certyfikatu nie ma na liście, składnik automatycznej aktualizacji certyfikatów głównych skontaktuje się z witryną Microsoft Windows Update w sieci Web, aby sprawdzić, czy aktualizacja jest dostępna. Jeśli urząd certyfikacji został dodany do listy zaufanych urzędów certyfikacji Microsoft, jego certyfikat zostanie automatycznie dodany do zaufanego magazynu certyfikatów na komputerze.
Krótka odpowiedź brzmi prawdopodobnie, że chodzi o kontrolę. Jeśli chcesz kontrolować, które główne urzędy certyfikacji są zaufane (zamiast korzystać z tej funkcji i pozwalać firmie Microsoft to zrobić za Ciebie), najłatwiej i najbezpieczniej jest stworzyć listę głównych urzędów certyfikacji, którym chcesz zaufać, rozpowszechniając je na komputerach domeny , a następnie zablokuj tę listę. Ponieważ zmiany na liście głównych urzędów certyfikacji, którym organizacja chce zaufać, byłyby stosunkowo rzadkie, wydaje się sensowne, że administrator chciałby przejrzeć i zatwierdzić wszelkie zmiany, zamiast pozwolić na automatyczną aktualizację.
Szczerze mówiąc, jeśli nikt nie wie, dlaczego to ustawienie jest włączone w danym środowisku, oznacza to, że nie należy go ustawiać.
Komputery w domenie będą mogły sprawdzać listę zaufanych urzędów certyfikacji w witrynie Microsoft Windows Update i potencjalnie dodawać nowe certyfikaty do swojego zaufanego magazynu certyfikatów.
Jeśli jest to nieakceptowalne dla Twoich klientów / klientów, certyfikaty mogą być dystrybuowane przez GPO i będą musieli uwzględnić Twój certyfikat w dowolnej metodzie dystrybucji, której używają obecnie dla zaufanych certyfikatów.
Lub zawsze możesz zasugerować tymczasowe wyłączenie tej konkretnej zasady, aby umożliwić instalację produktu.
źródło
Nie zgodziłbym się, że często to wyłącza się. Lepszym sposobem sformułowania byłoby pytanie, dlaczego ktoś to wyłączył. Lepszym rozwiązaniem problemu byłoby sprawdzenie przez instalatora certyfikatów głównego / pośredniego urzędu certyfikacji i zainstalowanie ich, jeśli nie są obecne.
Program Trusted Root CA jest niezbędny. TON aplikacji po prostu nie działałby zgodnie z oczekiwaniami, gdyby był szeroko wyłączony. Pewnie, niektóre organizacje mogą wyłączyć tę funkcję, ale tak naprawdę zależy to od organizacji na podstawie ich wymagań. Błędne jest założenie, że każda aplikacja, która wymaga zewnętrznej zależności (certyfikatu głównego), zawsze będzie działać bez jej testowania. Zarówno twórcy aplikacji, jak i organizacje, które wyłączają tę funkcję, są odpowiedzialne za zapewnienie zależności zewnętrznej (certyfikatu głównego). Oznacza to, że jeśli organizacja wyłączy to, wiedzą, że mogą spodziewać się tego problemu (lub wkrótce się o nim dowiedzą).
Warto również zauważyć, że jednym z przydatnych celów mechanizmu programu Trusted Root CA (dynamiczna instalacja certyfikatów głównego urzędu certyfikacji) jest to, że nie jest praktyczne instalowanie wszystkich lub nawet większości dobrze znanych / zaufanych certyfikatów głównego urzędu certyfikacji. Niektóre składniki w systemie Windows psują się, jeśli zainstalowano zbyt wiele certyfikatów, więc jedyną możliwą praktyką jest instalowanie tylko tych certyfikatów, które są potrzebne, gdy są potrzebne.
http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx
„Problem w tym, że pakiet bezpieczeństwa SChannel używany do wysyłania zaufanych certyfikatów do klientów ma limit 16 KB. Dlatego zbyt wiele certyfikatów w sklepie może uniemożliwić serwerom TLS wysyłanie potrzebnych informacji o certyfikatach; zaczynają wysyłać, ale muszą przestać, kiedy osiągają 16 KB. Jeśli klienci nie mają odpowiednich informacji o certyfikacie, nie mogą korzystać z usług wymagających TLS do uwierzytelnienia, ponieważ pakiet aktualizacji certyfikatu głównego dostępny w KB 931125 ręcznie dodaje dużą liczbę certyfikatów do sklepu, stosując go do wyników serwerów w sklepie przekraczającym limit 16 KB i możliwość nieudanego uwierzytelnienia TLS. ”
źródło
Mój powód wyłączenia usługi certif.service jest następujący:
Mam wiele systemów bez połączenia z Internetem. Również w większości przypadków brakuje im display / kb / mouse ze względu na fakt, że są maszynami wirtualnymi na dużym serwerze DatastoreServer. Tak więc we wszystkich przypadkach, gdy wymagają konserwacji / modyfikacji, korzystam z Windows RDP, aby się do nich dostać. Jeśli łączysz się z komputerem za pośrednictwem protokołu RDP, system Windows najpierw sprawdza aktualizacje certyfikatów online. Jeśli twój serwer / klient nie ma Internetu, zawiesi się na 10-20 sekund przed kontynuowaniem połączenia.
Codziennie wykonuję wiele połączeń RDP. Oszczędzam godziny, nie wpatrując się w wiadomość: „zabezpieczanie połączenia zdalnego” :) +1 za wyłączenie usługi certif.service!
źródło
Wiem, że to starszy wątek; Chciałbym jednak przedstawić alternatywne rozwiązanie. Użyj urzędu certyfikacji (ROOT CA) innego niż ten, z którego korzystasz. Innymi słowy, zmień certyfikat podpisywania na taki, który ma znacznie starszy, zatwierdzony główny urząd certyfikacji.
DIGICert oferuje to przy składaniu wniosku o certyfikat. Chociaż może to nie być domyślny główny urząd certyfikacji na koncie DIGICert, jest to opcja dostępna podczas przesyłania do nich CSR. BTW, nie pracuję dla DIGICert, ani nie zyskuję, polecając je. Po prostu odczuwam ten ból i spędziłem zbyt wiele godzin na oszczędzaniu 1000 USD na taniej certyfikacie, kiedy mogłem kupić droższy certyfikat i wydać dużo mniej czasu na rozwiązywanie problemów związanych ze wsparciem. To jest po prostu przykład. Są inni dostawcy certyfikatów oferujący to samo.
Zastrzeżenie - jeśli wybierzesz właściwy główny urząd certyfikacji podczas tworzenia CSR.
źródło