Microsoft artık bunları güncelleştirmediği için Windows Server için kök CA sertifikalarını nereden edinebilirim?

Microsoft , Ocak 2013'te WSUS'tan kök CA güncelleştirmelerini kaldırdı . Şimdi, kök CA'larının yetersiz kümesine (temelde yalnızca Microsoft'un kendi CA'larına) sahip bazı yeni Windows Server 2012 yüklemeleri var. Bu, uygulamamız bir https web hizmetini her çağırdığında, kök CA'yı özellikle yüklemediğimde başarısız olacağı anlamına gelir.

Uygulamamız bir yük dengeleyicide SSL sonlandırması kullandığından, Microsoft'un bu güncelleştirmeleri kaldırmasını isteyen 16KB SChannel sınırlaması hakkında endişelenmem gerekmez. Standart kök CA'ları yüklemek ve güncellemek için bir kaynak bulmak istiyorum. Böyle bir kaynak bilen var mı?

WS2012'deki varsayılan kök CA'ların görüntüsü.

Bu, şirketimin kullandığı tuhaf GPO'dan kaynaklanıyor gibi görünüyor.

Belirtildiği gibi burada ayarı GPO Bilgisayar Yapılandırması \ Yönetim Şablonları \ System \ Internet İletişim Yönetimi Otomatik kök sertifikaları Güncelleme kapatın \ edildi Etkin OS Microsoft'tan kök CA'larını çekme olmaz, yani. Bunu Devre Dışı olarak ayarlamak sorunu çözdü.

Kök CA'ların bazı Windows 2012 R2 sunucularımızda güncel olmadığını gördük.

Bunu araştırdıktan sonra Microsoft, " Internet'e ve Internet'ten Bilgi Akışını Önlemek için Kök Sertifikaları Güncelleştirme Özelliğini Denetleme " ( KB makalesi ) olanağı sağlayan bir düzeltme eki yayımladı .

Bu düzeltme eki, Windows Update'in kök CA'ları diğer işlevlerle birlikte güncelleştirmesini durdurmak için yeni kayıt defteri anahtarları sunar.

Aşağıdaki kayıt defteri anahtarının 0 olarak ayarlanması sorunu giderir. Sertifikalar değişiklikten hemen sonra yüklenmeye başlar.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Yöneticilerin, izinleri olmadan makinelerini güncellemelerini denetlemek isteyebileceğini görebiliyorum, ancak kök CA'ların güncelleştirilmesine izin vermemenin giderdiği daha fazla soruna neden olması muhtemel bir kenar durum olduğunu düşünüyorum ve neden kayıt defteri anahtarının neden olduğunu bilmiyorum. sunucularımızda ayarlanmıştır.

Bu kayıt defteri anahtarları ve Windows 2012 R2 sunucularında yapabileceğiniz diğer şeyler hakkında tartışma var.

Kimse söylemezse, söyleyeceğim. Microsoft yıllar önce vidalandı ve Microsoft'un bu güncelleştirmeyi çekmeden önce söz konusu güncelleştirmeyi alacak kadar şanslı herhangi bir makineyi kıran güvenilir kök CA'lara yönelik bir güncelleştirme yayımladı. Bugüne kadar hala bu sorunla ilgileniyorum.

Güvenlikle ilgili sonuçları anladığım için, bu sorunlara doğrudan bağlantılar sağlamıyorum. Bunun yerine, ilgili bilgileri bulmak için Google'da arama yapılan şey budur:

Güncelleştirme KB3004394, Windows 7 / Windows Server 2008 R2'deki Kök Sertifikayı ihlal ediyor

Microsoft, KB 3004394'ü ortadan kaldırmak için 'Silver Bullet' düzeltme eki KB 3024777'yi yayımladı

Ve yaşadığım ve bugüne kadar sayısız soruna neden oluyor:

KB 931125 yüklendikten sonra SSL / TLS iletişim sorunları

Bu pakette 330'dan fazla Üçüncü Taraf Kök Sertifika Yetkilisi kuruldu. Şu anda, Schannel güvenlik paketinin desteklediği güvenilen sertifika yetkilileri listesinin maksimum boyutu 16 kilobayttır (KB). Çok sayıda Üçüncü Taraf Kök Sertifika Yetkilisine sahip olmak 16k sınırını aşacak ve TLS / SSL iletişim sorunları yaşayacaksınız.

Başka bir neden, Microsoft'un yıllar içinde bir dizi kök CA'ya güvenmemesidir. Tembel yöneticiler, Intranet sunucuları için bu özelliği devre dışı bırakacak ve kök sorununu asla çözmeyecek - artık güvenilmeyen her şeyi yeniden imzalamak.

Her neyse, basit cevap farklı bir kod imzalama sertifikası kullanmaktır.