Моя компанія поширює інсталятор Windows для продукту на основі сервера. Відповідно до найкращих практик, він підписується за допомогою сертифіката. Відповідно до порад Microsoft, ми використовуємо сертифікат підписання коду GlobalSign , який, за твердженням Microsoft, визнається за замовчуванням у всіх версіях Windows Server.
Тепер це все працює добре, якщо сервер не налаштовано з груповою політикою: Конфігурація комп’ютера / Адміністративні шаблони / Система / Управління комунікаціями в Інтернеті / Налаштування Інтернет-комунікацій / Вимкніть автоматичне оновлення кореневого сертифіката як включене .
Ми виявили, що один з наших ранніх бета-тестерів працював з цією конфігурацією, що призводило до наступної помилки під час встановлення
Необхідний файл не може бути встановлений, оскільки файл кабінету [довгий шлях до файлу кабіни] має недійсний цифровий підпис. Це може означати, що файл кабінету пошкоджений.
Ми це списували як дивацтво, адже ніхто не зміг пояснити, чому система налаштована так. Однак тепер, коли програмне забезпечення доступне для загального користування, виявляється, що двозначна цифра (відсоток) наших клієнтів налаштована з цим параметром, і ніхто не знає чому. Багато хто неохоче змінює налаштування.
Ми написали статтю KB для наших клієнтів, але ми дійсно не хочемо, щоб ця проблема взагалі трапилась, оскільки насправді хвилюють досвід клієнтів.
Деякі речі, які ми помітили, досліджуючи це:
- Свіжа інсталяція Windows Server не відображає сертифікат Globalsign у списку надійних кореневих повноважень.
- Якщо Windows Server не підключений до Інтернету, установка нашого програмного забезпечення працює чудово. Наприкінці установки присутній сертифікат Globalsign (не імпортований нами). На задньому плані Windows, як видається, встановлює прозоро під час першого використання.
Отже, ось моє запитання. Чому так часто відключити оновлення кореневих сертифікатів? Які потенційні побічні ефекти відновлюють оновлення? Я хочу переконатися, що ми можемо надати нашим клієнтам відповідні вказівки.