Nơi để lấy chứng chỉ CA gốc cho Windows Server bây giờ mà Microsoft không còn cập nhật chúng nữa?

Microsoft đã gỡ bỏ các bản cập nhật CA gốc từ WSUS vào tháng 1 năm 2013. Bây giờ tôi có một số bản cài đặt Windows Server 2012 mới có một bộ CA gốc không đủ (về cơ bản chỉ là các CA riêng của Microsoft). Điều này có nghĩa là bất cứ khi nào ứng dụng của chúng tôi gọi một dịch vụ web https, nó sẽ thất bại trừ khi tôi đặc biệt cài đặt CA gốc.

Vì ứng dụng của chúng tôi sử dụng chấm dứt SSL tại bộ cân bằng tải, tôi không cần phải lo lắng về giới hạn SChannel 16KB đã khiến Microsoft gỡ bỏ các bản cập nhật này. Tôi muốn tìm một tài nguyên để cài đặt và cập nhật CA gốc. Có ai biết một nguồn tài nguyên như vậy?

Đây là hình ảnh của các CA gốc mặc định trong WS2012.

Có vẻ như điều này là do GPO lẻ mà công ty tôi sử dụng.

Như đã nêu ở đây , cài đặt GPO Cấu hình máy tính \ Mẫu quản trị \ Hệ thống \ Quản lý truyền thông Internet \ Tắt Cập nhật chứng chỉ gốc tự động đã được bật , có nghĩa là HĐH sẽ không rút CA gốc từ Microsoft. Đặt cài đặt này thành Vô hiệu hóa đã khắc phục sự cố.

Chúng tôi thấy rằng các CA gốc đã lỗi thời trên một số máy chủ Windows 2012 R2 của chúng tôi.

Sau khi điều tra, có vẻ như Microsoft đã phát hành một bản vá để cung cấp khả năng " Kiểm soát tính năng chứng chỉ gốc cập nhật để ngăn chặn luồng thông tin đến và đi từ Internet " ( bài viết KB ).

Bản vá này giới thiệu các khóa đăng ký mới để ngăn Windows Update cập nhật các CA gốc cùng với các chức năng khác.

Đặt khóa đăng ký sau thành 0 sẽ khắc phục sự cố. Các chứng chỉ bắt đầu cài đặt ngay sau khi thay đổi.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Mặc dù tôi có thể thấy Quản trị viên có thể muốn kiểm soát máy của mình cập nhật mà không có sự đồng ý của họ, tôi nghĩ rằng không cho phép CA gốc cập nhật là trường hợp có khả năng gây ra nhiều sự cố hơn mà nó đã khắc phục và tôi vẫn chưa biết tại sao khóa đăng ký đã được thiết lập trên các máy chủ của chúng tôi.

Có thảo luận về các khóa đăng ký này và những thứ khác bạn có thể làm trên máy chủ Windows 2012 R2 tại đây

Nếu không ai khác sẽ nói điều đó, tôi sẽ làm. Microsoft đã làm hỏng nhiều năm trước và xuất bản một bản cập nhật cho các CA gốc đáng tin cậy đã phá vỡ bất kỳ máy nào đủ may mắn để nhận được bản cập nhật trước khi Microsoft rút bản cập nhật. Đến hôm nay, tôi vẫn giải quyết vấn đề này.

Bởi vì tôi hiểu ý nghĩa bảo mật, tôi không cung cấp liên kết trực tiếp đến những vấn đề này. Thay vào đó, đây là những gì một người tìm kiếm trong Google để tìm thông tin liên quan:

Cập nhật KB3004394 phá vỡ Chứng chỉ gốc trong Windows 7 / Windows Server 2008 R2

Microsoft phát hành bản vá 'Silver Bullet' KB 3024777 để loại bỏ KB 3004394

Và người tôi đã trải qua và cho đến ngày nay gây ra vô số vấn đề:

Sự cố giao tiếp SSL / TLS sau khi bạn cài đặt KB 931125

Gói này đã cài đặt hơn 330 Cơ quan chứng nhận gốc của bên thứ ba. Hiện tại, kích thước tối đa của danh sách các cơ quan cấp chứng chỉ tin cậy mà gói bảo mật Schannel hỗ trợ là 16 kilobyte (KB). Có một số lượng lớn Cơ quan chứng nhận gốc của bên thứ ba sẽ vượt quá giới hạn 16 nghìn và bạn sẽ gặp phải các sự cố giao tiếp TLS / SSL.

Một lý do khác là vì Microsoft đã không tin tưởng một số CA gốc trong những năm qua. Quản trị viên lười biếng sẽ đơn giản vô hiệu hóa tính năng này cho các máy chủ Intranet của họ và không bao giờ giải quyết vấn đề gốc - ký lại mọi thứ không còn đáng tin cậy.

Dù sao, câu trả lời đơn giản là sử dụng một chứng chỉ ký mã khác.