那些遇到过的问题

Windows Server 2016 上缺少根证书(全新安装)

Sha*_*aan 2 ssl-certificate certificate-authority windows-server-2016

在公司,我们从来没有真正关心根证书,并且印象中这是与 Windows 更新一起管理的东西(并且有 WSUS),一切都很好。

然而,今天,我注意到全新安装的 Windows Server 2016(包含所有更新)似乎只有非常非常基本的根证书,以至于我什至无法打开 Google(因为不信任他们的证书) )。

(我还没有检查全新的 Windows 10 安装...)

我对此感到有点困惑,因为以前没有发生过这种情况。要么我们对 GPO 进行了一些糟糕的更改(尽管我想不出任何会产生这种效果的更改),要么这是最近更改的内容?我应该如何操作才能顺利访问 Google 等内容?我现在需要通过 GPO 手动添加受信任的证书吗?

以下是新安装的服务器上的情况的一些屏幕截图。

SSL 证书错误

一般的

小路

证书清单

Cry*_*t32 5

这是正常且预期的行为。默认情况下,受信任的根存储中只有少数必需的证书可见。其余的(大约有 300 个根)是在您第一次面对它们时按需安装的。Windows 更新中存在根证书的隐藏副本Crypt32.dll。没有什么可担心的。

更新:

我进行了内部检查,发现请求的根目录嵌入在crypt32.dll文件中。以下是 PowerShell 代码,您可以从此 dll 中提取嵌入的证书并找到所需的根:

$signature = @"
[DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Auto)]
public static extern IntPtr LoadLibraryEx(
    String lpFileName,
    IntPtr hFile,
    UInt32 dwFlags
);
[DllImport("kernel32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern IntPtr FindResource(
    IntPtr hModule,
    int lpID,
    string lpType
);
[DllImport("kernel32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern uint SizeofResource(
    IntPtr hModule,
    IntPtr hResInfo
);
[DllImport("kernel32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern IntPtr LoadResource(
    IntPtr hModule,
    IntPtr hResInfo
);
[DllImport("kernel32.dll", SetLastError = true, CharSet = CharSet.Auto)]
public static extern bool FreeLibrary(
    IntPtr hModule
);
"@
Add-Type -MemberDefinition $signature -Namespace PKI -Name Kernel32
$path = $Env:SystemRoot + "\System32\crypt32.dll"
$hModule = [PKI.Kernel32]::LoadLibraryEx($path,[IntPtr]::Zero,0x2)
$hResInfo = [PKI.Kernel32]::FindResource($hModule,1010,"AUTHROOTS")
$size = [PKI.Kernel32]::SizeOfResource($hModule, $hResInfo)
$resource = [PKI.Kernel32]::LoadResource($hModule, $hResInfo)
$bytes = New-Object byte[] -ArgumentList $size
[Runtime.InteropServices.Marshal]::Copy($resource, $bytes, 0, $size)
$AUTHROOTS = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2Collection
$AUTHROOTS.Import($bytes)
[void][PKI.Kernel32]::FreeLibrary($hModule)
$AUTHROOTS | ?{$_.thumbprint -eq "75E0ABB6138512271C04F85FDDDE38E4B7242EFE"}
Run Code Online (Sandbox Code Playgroud)

只需将此代码复制粘贴到 PS 控制台并检查是否返回任何对象/

归档时间:

查看次数:

12792 次

最近记录:

6 年,2 月 前
相关归档
阻止 apache 每次重新启动时要求输入 SSL 密码 46
ca-bundle.crt 和 ca-bundle.trust.crt 的区别 27
Windows 2008 R2 CA 和自动注册:如何摆脱超过 100,000 个已颁发的证书? 14
FTPS的SSL证书,和HTTPS一样吗? 6
IIS7 中的证书信任列表 5
开始公司的数字证书基础设施 4
如何检查 apache 的 SNI(服务器名称指示)可用性? 4
在下拉列表中找不到 SSL 证书 - IIS 7 3
一个虚拟主机,多个证书 3
SSL 证书、多个服务器和 DNS 0
难疑归档
您如何从以前的 IT 人员那里搜索后门? 374
证书颁发机构根证书到期和续订 124
如何在 Linux 中显示文本文件中的某些行? 100
ssh 隧道拒绝与“通道 2:打开失败”的连接 90
使用 ansible 将用户添加到其他组 79
sudoers:如何禁用每个用户的要求 79
你如何管理你的密码? 59
每个 VHost 有多个“ServerName”? 58
如何修复 Apache (httpd) 中的“logjam”漏洞 56
什么是 SPF 记录,如何配置它们? 54