จะรับใบรับรอง CA ของรูทสำหรับ Windows Server ได้ที่ใด Microsoft ไม่ได้ทำการอัพเดตอีกต่อไป?

12

Microsoft ได้ลบการอัพเดท CA ของรูทออกจาก WSUSในเดือนมกราคม 2013 ตอนนี้ฉันมีการติดตั้ง Windows Server 2012 ใหม่ซึ่งมีรูท CA ที่ไม่เพียงพอ (โดยทั่วไปเป็นเพียง CA ของ Microsoft) ซึ่งหมายความว่าเมื่อใดก็ตามที่แอปพลิเคชันของเราเรียกบริการเว็บ https จะล้มเหลวเว้นแต่ฉันจะติดตั้งรูท CA โดยเฉพาะ

เนื่องจากแอปพลิเคชันของเราใช้การยกเลิก SSL ที่ตัวโหลดบาลานซ์ฉันไม่จำเป็นต้องกังวลเกี่ยวกับข้อ จำกัด ของช่องสัญญาณ 16KB ที่ทำให้ Microsoft ลบการปรับปรุงเหล่านี้ ฉันต้องการค้นหาแหล่งข้อมูลเพื่อติดตั้งและอัปเดต CA รูทมาตรฐาน ไม่มีใครรู้เกี่ยวกับทรัพยากรดังกล่าวหรือไม่?

นี่คือรูปภาพของรูต CA เริ่มต้นใน WS2012 WS2012 รูท CA เริ่มต้น

windows certificate-authority

— pdubs
แหล่งที่มา

4

เดี๋ยวก่อน พวกเขาไม่ได้ให้ CA ฐานที่เชื่อถือได้กับการติดตั้งใหม่อีกต่อไป? ดูเหมือนว่า .. เข้าใจผิด

— Shane Madden

3

ฉันอ่านบทความนั้นและส่วนใหญ่ใช้กับ XP / 2003 และต่ำกว่าใช่ไหม Vista / 2808 ขึ้นไปใช้วิธีที่ต่างกันในการอัพเดทรากของตนโดยอัตโนมัติ วิธีการนี้สามารถควบคุมได้โดยนโยบายกลุ่ม ฉันเดาว่าจะปิดใช้งานในปี 2012 แต่สามารถเปิดใช้งานได้หรือไม่ - ดูtechnet.microsoft.com/en-us/library/cc733922(v=ws.10).aspxและtechnet.microsoft.com/en-us/library/…

— Zoredache

@Zoredache การโทรที่ดีในการตั้งค่า GPO ดูเหมือนว่ายังมีอยู่ใน WS2012 หากคุณเขียนขึ้นเป็นคำตอบฉันจะยอมรับมัน

— pdubs

ไปข้างหน้าและตอบคำถามด้วยตนเองถ้ามันเหมาะกับคุณ ฉันไม่ชอบที่จะให้คำตอบเมื่อฉันมีความคิดที่คลุมเครือและไม่มีวิธีที่ดีในการทดสอบ / ทำซ้ำ

— Zoredache

10

ดูเหมือนว่านี่เป็นเพราะ GPO คี่บอลที่ บริษัท ของฉันใช้

ตามที่อธิบายไว้ที่นี่การตั้งค่า GPO การจัดการ Management \ ปิดเทมเพลต \ System \ Internet Configuration \ Administrative คอมพิวเตอร์เปิดใช้งานการปรับปรุงใบรับรองหลักอัตโนมัติถูกเปิดใช้งานซึ่งหมายความว่าระบบปฏิบัติการจะไม่ดึง CA ที่รูทออกจาก Microsoft การตั้งค่านี้เป็นปิดใช้งานแก้ไขปัญหา

— pdubs
แหล่งที่มา

5

เราพบว่า CA ของรูทล้าสมัยแล้วในเซิร์ฟเวอร์ Windows 2012 R2 บางตัวของเรา

หลังจากตรวจสอบแล้วจะปรากฏว่า Microsoft เปิดตัวแพตช์เพื่อให้ความสามารถในการ " ควบคุมคุณลักษณะใบรับรองหลักของการอัปเดตเพื่อป้องกันการไหลของข้อมูลไปและกลับจากอินเทอร์เน็ต " ( บทความ KB )

โปรแกรมปรับปรุงนี้แนะนำรีจิสตรีคีย์ใหม่สำหรับการหยุด Windows Update ไม่ให้อัพเดท CA รูตพร้อมกับฟังก์ชั่นอื่น ๆ

การตั้งค่าคีย์รีจิสทรีต่อไปนี้เป็น 0 ช่วยแก้ไขปัญหา ใบรับรองจะเริ่มติดตั้งทันทีหลังจากการเปลี่ยนแปลง

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

ในขณะที่ฉันเห็นว่าผู้ดูแลระบบอาจต้องการควบคุมเครื่องของพวกเขาจากการปรับปรุงโดยไม่ได้รับความยินยอมฉันคิดว่าการไม่อนุญาตให้รูต CA เพื่ออัปเดตเป็นกรณีที่อาจทำให้เกิดปัญหามากขึ้นที่แก้ไขได้และฉันยังไม่รู้สาเหตุ ได้รับการตั้งค่าบนเซิร์ฟเวอร์ของเรา

มีการสนทนาเกี่ยวกับรีจิสตรีคีย์และสิ่งอื่น ๆ ที่คุณสามารถทำได้บนเซิร์ฟเวอร์ Windows 2012 R2 ที่นี่

— CarlR
แหล่งที่มา

0

หากไม่มีใครพูดได้ฉันก็จะทำ Microsoft เมาเมื่อหลายปีก่อนและเผยแพร่การอัปเดตไปยัง CA ที่รูทที่เชื่อถือได้ซึ่งทำลายเครื่องใด ๆ ที่โชคดีพอที่จะได้รับการอัปเดตดังกล่าวก่อนที่ Microsoft จะดึงการอัปเดต ถึงวันนี้ฉันยังคงจัดการกับปัญหานี้

เนื่องจากฉันเข้าใจความหมายของความปลอดภัยฉันจึงไม่ได้ให้การเชื่อมโยงโดยตรงกับปัญหาเหล่านี้ แต่นี่คือสิ่งที่ค้นหาใน Google เพื่อค้นหาข้อมูลที่เกี่ยวข้อง:

อัปเดต KB3004394 แบ่งใบรับรองหลักใน Windows 7 / Windows Server 2008 R2

Microsoft ออกแพทช์ 'Silver Bullet' KB 3024777 เพื่อกำจัด KB 3004394

และสิ่งที่ฉันประสบมาจนถึงทุกวันนี้ทำให้เกิดปัญหามากมาย:

ปัญหาการสื่อสาร SSL / TLS หลังจากที่คุณติดตั้ง KB 931125

แพคเกจนี้ติดตั้งผู้มีสิทธิ์ออกใบรับรองบุคคลที่สามมากกว่า 330 คน ปัจจุบันขนาดสูงสุดของรายการผู้ให้บริการออกใบรับรองที่เชื่อถือได้ที่แพ็คเกจความปลอดภัย Schannel รองรับคือ 16 กิโลไบต์ (KB) การมีจำนวนผู้มีสิทธิ์ออกใบรับรองบุคคลที่สามจำนวนมากจะเกินขีด จำกัด 16k และคุณจะประสบปัญหาการสื่อสาร TLS / SSL

อีกเหตุผลหนึ่งคือเนื่องจาก Microsoft ได้ไว้ใจ CA จำนวนมากในช่วงหลายปีที่ผ่านมา ผู้ดูแลระบบ Lazy เพียงแค่ปิดการใช้งานคุณลักษณะนี้สำหรับเซิร์ฟเวอร์อินทราเน็ตของพวกเขาและไม่เคยแก้ไขปัญหาราก - การลงนามทุกอย่างไม่น่าเชื่อถืออีกต่อไป

อย่างไรก็ตามคำตอบง่ายๆคือการใช้ใบรับรองการลงนามรหัสที่แตกต่างกัน

— เอ็ดวิน
แหล่งที่มา