Де взяти кореневі сертифікати CA для Windows Server тепер, коли Microsoft більше не оновлює їх?

Корпорація Майкрософт видалила оновлення кореневого ЦС із WSUS у січні 2013 року. Зараз у мене є нові свіжі встановлення Windows Server 2012, у яких недостатній набір кореневих ЦС (в основному це лише власні ЦС Microsoft). Це означає, що кожного разу, коли наша програма зателефонує на веб-службу https, вона не працюватиме, якщо я спеціально не встановити кореневий сервер.

Оскільки наш додаток використовує завершення SSL на балансирі навантаження, мені не потрібно турбуватися про обмеження SChannel 16KB, що спонукало Microsoft видалити ці оновлення. Я хотів би знайти ресурс для встановлення та оновлення стандартних кореневих ЦС. Хтось знає про такий ресурс?

Ось зображення кореневих ЦЗ за замовчуванням у WS2012.

Схоже, це пов’язано з дивовижною груповою групою, яку використовує моя компанія.

Як зазначено тут об'єкт групової політики налаштування Конфігурація комп'ютера \ Адміністративні шаблони \ Система \ Управління зв'язком через Інтернет \ Вимкнути Автоматичне Оновлення кореневих сертифікатів була включена , а це означає , що операційна система не буде тягнути кореневі центри сертифікації від Microsoft. Якщо встановити цей параметр " Інваліди", виправлено проблему.

Ми виявили, що кореневі ЦС застаріли на деяких наших серверах Windows 2012 R2.

Дослідивши це, схоже, Microsoft випустила патч, щоб забезпечити можливість " Керування функцією оновлення кореневих сертифікатів для запобігання потоку інформації в Інтернет та з Інтернету " ( стаття KB ).

Цей патч вводить нові ключі реєстру для того, щоб зупинити оновлення Windows від оновлення кореневих ЦЗ разом з іншими функціональними можливостями.

Встановлення наступного ключа реєстру на 0 вирішує проблему. Сертифікати починають встановлюватися відразу після зміни.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Хоча я можу бачити, що адміністратори, можливо, хочуть контролювати свої машини від оновлення без їхньої згоди, я думаю, що не дозволяти кореневим ЦО оновитись - це крайній випадок, який, ймовірно, може викликати більше проблем, які він виправляє, і я ще не знаю, чому ключ реєстру встановлено на наших серверах.

Тут обговорюються ці ключі реєстру та інші речі, які ви можете зробити на серверах Windows 2012 R2 тут

Якщо ніхто більше цього не скаже, я буду. Microsoft вивернувся років тому і опублікував оновлення довірених кореневих центрів, які зламали будь-яку машину, пощастило отримати оновлення до того, як Microsoft почне оновлення. До сьогоднішнього дня я все ще маю справу з цією проблемою.

Оскільки я розумію наслідки для безпеки, я не надаю прямих посилань на ці проблеми. Натомість це пошук у Google, щоб знайти відповідну інформацію:

Оновлення KB3004394 розбиває кореневий сертифікат у Windows 7 / Windows Server 2008 R2

Microsoft випускає патч "Silver Bullet" KB 3024777 для усунення KB 3004394

І те, що я пережив і по сьогоднішній день, викликає незліченну кількість питань:

Проблеми зв'язку SSL / TLS після встановлення KB 931125

Цей пакет встановив понад 330 сторонніх організацій з кореневої сертифікації. Наразі максимальний розмір списку довірених сертифікатів, який підтримує пакет захисту Schannel, становить 16 кілобайт (КБ). Маючи велику кількість сторонніх організацій з кореневої сертифікації, ви перейдете обмеження 16 к., І у вас виникнуть проблеми зв'язку TLS / SSL.

Ще одна причина тому, що Microsoft протягом багатьох років недовіряла ряду кореневих служб. Ледачі адміністратори просто відключать цю функцію для своїх серверів Інтранету і ніколи не вирішать корінну проблему - повторно підписуючи все, на що більше не довіряють.

У будь-якому випадку проста відповідь - використовувати інший сертифікат підпису коду.