Jer*_*jer 42 windows certificate group-policy
我的公司为基于服务器的产品分发 Windows 安装程序。根据最佳实践,它使用证书进行签名。根据Microsoft 的建议,我们使用GlobalSign 代码签名证书,Microsoft 声称默认情况下所有 Windows Server 版本都会识别该证书。
现在,这一切正常,除非服务器配置了组策略:计算机配置/管理模板/系统/互联网通信管理/互联网通信设置/关闭自动根证书更新为已启用。
我们发现我们的一位早期 beta 测试人员正在使用此配置运行,导致在安装过程中出现以下错误
无法安装所需的文件,因为 CAB 文件 [cab 文件的长路径] 具有无效的数字签名。这可能表明cabinet 文件已损坏。
我们认为这是一件奇怪的事情,毕竟没有人能够解释为什么系统是这样配置的。但是,现在该软件已可供一般用途使用,似乎有两位数(百分比)的客户使用此设置进行配置,而没有人知道原因。许多人不愿意改变设置。
我们已经为我们的客户写了一篇知识库文章,但我们真的不希望问题发生,因为我们实际上关心客户体验。
我们在调查这件事时注意到了一些事情:
所以,这里又是我的问题。为什么禁用根证书更新如此普遍?再次启用更新的潜在副作用是什么?我想确保我们可以为我们的客户提供适当的指导。
Jam*_*ell 35
在 2012 年末 / 2013 年初,自动根证书更新存在问题。临时修复是禁用自动更新,所以这个问题部分是历史问题。
另一个原因是受信任的根证书程序和根证书分发,这(用微软的话来说)......
根证书在 Windows 上自动更新。当 [系统] 遇到新的根证书时,Windows 证书链验证软件会检查根证书的相应 Microsoft 更新位置。
到目前为止,一切都很好,但是……
如果找到它,它会将其下载到系统中。对于用户来说,体验是无缝的。用户看不到任何安全对话框或警告。下载会在幕后自动发生。
发生这种情况时,似乎证书被自动添加到根存储中。所有这些都让一些系统管理员感到紧张,因为您无法从证书管理工具中删除“坏”CA,因为它们不是为了删除...
实际上,有一些方法可以让 Windows 下载完整列表,以便他们可以随意编辑它,但通常只是阻止更新。大量系统管理员不了解加密或安全(通常),因此他们毫无疑问地遵循公认的智慧(正确或其他),并且他们不喜欢对涉及安全的事物进行更改,而他们并不完全理解相信它是一些黑色艺术。
Hop*_*00b 11
该自动根证书更新组件被设计为自动检查在Microsoft Windows Update网站信任当局的名单。具体来说,本地计算机上存储了受信任的根证书颁发机构 (CA) 列表。当应用程序收到 CA 颁发的证书时,它会检查受信任的根 CA 列表的本地副本。如果证书不在列表中,则自动根证书更新组件将联系 Microsoft Windows Update 网站以查看是否有可用更新。如果 CA 已添加到 Microsoft 受信任 CA 列表中,则其证书将自动添加到计算机上的受信任证书存储中。
为什么禁用根证书更新如此普遍?
简短的回答可能是关于控制。如果您想控制信任哪些根 CA(而不是使用此功能并让 Microsoft 为您完成),最简单且最安全的方法是列出您想要信任的根 CA 列表,并将它们分发到您的域计算机,然后锁定该列表。由于组织想要信任的根 CA 列表的更改相对较少,因此管理员希望审查和批准任何更改而不是允许自动更新在一定程度上是有意义的。
坦率地说,如果没有人知道为什么在给定环境中启用此设置,则意味着不应设置它。
再次启用更新的潜在副作用是什么?
域计算机将被允许对照 Microsoft Windows 更新站点上的受信任 CA 列表进行检查,并可能将新证书添加到其受信任的证书存储中。
如果这对您的客户/客户来说是不可接受的,则证书可以由 GPO 分发,并且他们需要将您的证书包含在他们当前用于受信任证书的任何分发方法中。
或者您始终可以建议暂时禁用此特定策略,以允许安装您的产品。
| 归档时间: |
|
| 查看次数: |
41698 次 |
| 最近记录: |