Dove ottenere i certificati CA radice per Windows Server ora che Microsoft non li aggiorna più?

12

Microsoft ha rimosso gli aggiornamenti delle CA radice da WSUS nel gennaio 2013. Ora ho alcune nuove installazioni di Windows Server 2012 che hanno un set insufficiente di CA radice (fondamentalmente solo le CA di Microsoft). Ciò significa che ogni volta che la nostra applicazione chiama un servizio Web HTTPS fallirà a meno che non installi specificamente la CA principale.

Poiché la nostra applicazione utilizza la terminazione SSL in un servizio di bilanciamento del carico, non devo preoccuparmi della limitazione SChannel da 16 KB che ha richiesto a Microsoft di rimuovere questi aggiornamenti. Vorrei trovare una risorsa per installare e aggiornare le CA radice standard. Qualcuno sa di una tale risorsa?

Ecco un'immagine delle CA radice predefinite in WS2012. CA radice WS2012 predefinite

windows  certificate-authority 
pdubs
fonte
4
Aspetta, davvero? Non forniscono più un set di base di autorità di certificazione attendibili con nuove installazioni? Sembra ... fuorviato.
Shane Madden
3
Stavo leggendo quell'articolo, e si applica principalmente a XP / 2003 e in basso a destra? Vista / 2808 e versioni successive utilizzano un metodo diverso per aggiornare automaticamente le loro radici. Il metodo può essere presumibilmente controllato da criteri di gruppo. Immagino che sia disabilitato nel 2012, ma può essere abilitato? - Vedi technet.microsoft.com/en-us/library/cc733922(v=ws.10).aspx e technet.microsoft.com/en-us/library/…
Zoredache,
@Zoredache Buona chiamata sull'impostazione dell'oggetto Criteri di gruppo. Sembra che sia ancora lì in WS2012. Se lo scrivi come risposta lo accetterò.
pdubs,
Vai avanti e rispondi autonomamente se funziona per te. Non mi piace davvero fornire una risposta quando ho davvero solo una vaga idea e nessun buon modo per testare / replicare.
Zoredache,

Risposte:

10

Sembra che ciò sia dovuto all'oggetto Criteri di gruppo strano che la mia azienda utilizza.

Come indicato qui l'impostazione dell'oggetto Criteri di gruppo Configurazione computer \ Modelli amministrativi \ Sistema \ Gestione comunicazioni Internet \ Disattiva aggiornamento certificati radice automatica è stata abilitata , il che significa che il sistema operativo non estrarrebbe le CA principali da Microsoft. L'impostazione su Disabilitato ha risolto il problema.

pdubs
fonte
4

Abbiamo riscontrato che le CA principali non erano aggiornate su alcuni dei nostri server Windows 2012 R2.

Dopo aver esaminato questo aspetto, Microsoft ha rilasciato una patch per fornire la possibilità di " Controllare la funzionalità dei certificati di root di aggiornamento per impedire il flusso di informazioni da e verso Internet " ( articolo KB ).

Questa patch introduce nuove chiavi di registro per impedire a Windows Update di aggiornare le CA principali insieme ad altre funzionalità.

L'impostazione della seguente chiave di registro su 0 risolve il problema. I certificati iniziano l'installazione immediatamente dopo la modifica.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Mentre vedo che gli amministratori potrebbero voler controllare l'aggiornamento dei loro computer senza il loro consenso, penso che non consentire l'aggiornamento delle CA root sia un caso limite che probabilmente causerà più problemi che corregge e non so ancora perché la chiave di registro è stato impostato sui nostri server.

Non v'è la discussione di queste chiavi di registro e le altre cose che si possono fare su Windows 2012 server R2 qui

CarlR
fonte
0

Se nessun altro lo dirà, lo farò. Microsoft ha fatto un casino anni fa e ha pubblicato un aggiornamento per le CA radice attendibili che ha rotto qualsiasi macchina abbastanza fortunata da ottenere detto aggiornamento prima che Microsoft eseguisse l'aggiornamento. Ancora oggi mi occupo di questo problema.

Poiché capisco le implicazioni per la sicurezza, non sto fornendo collegamenti diretti a questi problemi. Invece, questo è ciò che si cerca in Google per trovare le informazioni correlate:

L'aggiornamento KB3004394 interrompe il certificato radice in Windows 7 / Windows Server 2008 R2

Microsoft rilascia la patch "Silver Bullet" KB 3024777 per eliminare KB 3004394

E quello che ho sperimentato e fino ad oggi provoca innumerevoli problemi:

Problemi di comunicazione SSL / TLS dopo l'installazione di KB 931125

Questo pacchetto ha installato oltre 330 Autorità di certificazione radice di terze parti. Attualmente, la dimensione massima dell'elenco delle autorità di certificazione attendibili supportata dal pacchetto di sicurezza Schannel è di 16 kilobyte (KB). Avere un gran numero di autorità di certificazione radice di terze parti supererà il limite di 16k e si verificheranno problemi di comunicazione TLS / SSL.

Un altro motivo è che Microsoft ha diffidato di un certo numero di CA principali nel corso degli anni. Gli amministratori pigri disabiliteranno semplicemente questa funzione per i loro server Intranet e non risolveranno mai il problema di root - riscrivendo tutto ciò che non è più attendibile.

Comunque, la risposta semplice è usare un certificato di firma del codice diverso.

Edwin
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.