我正在尝试访问https://www.duluthtrading.com/,但在 Windows 7 上收到不受信任的证书错误。IE 和 Chrome 中都会发生这种情况(因为它们都使用 Windows 证书存储区)。
这是证书链:
- VeriSign 通用根证书颁发机构
- Symantec 3 级安全服务器 SHA256 SSL CA(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
- www.duluthtrading.com(6e 70 94 1a e6 39 88 9a 64 fa cb 76 34 af 62 e6 43 83 66 cf)
- Symantec 3 级安全服务器 SHA256 SSL CA(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
问题是,Root CA(VeriSign 通用根证书颁发机构)在此有问题的系统上不受信任。此机器已通过 Windows 更新进行了更新。
我查看了另一台 Windows 7 VM(版本较低),证书就在“第三方根证书颁发机构”下。这台 VM 的证书较少。
为什么缺少这个 CA 证书?
我怎样才能修理这台机器?
更新:在 Windows 应用程序日志中,我看到以下错误:
Event 4101, CAPI2
Failed auto update retrieval of third-party root certificate from: <http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4.crt> with error: 12007 (0x2ee7).
答案1
通常情况下,您不必担心这样的问题。
当您收到由不受信任的根颁发机构颁发的证书时,您的计算机将联系 Windows 更新网站,查看 Microsoft 是否已将该 CA 添加到其受信任的颁发机构列表中。1
看Microsoft 知识库 2328240:“Windows 和 Windows Server 中的应用程序日志中记录了事件 ID 4107 或事件 ID 11”
原因- 发生此错误的原因是 Microsoft 证书信任列表发布者证书已过期。CryptnetUrlCache 文件夹中存在签名证书已过期的 CTL 副本。
该页面上提供了“帮我修复该问题”下载,或提供了手动修复该问题的说明。
应用更新并重新启动后,下次访问该网站时,您的计算机应自动下载 CA 证书。重新启动浏览器并重新访问该网站应该会成功。
1 - 这是根据组策略编辑器 (gpedit.msc) 中的描述解释的:管理模板/系统/Internet 通信设置/关闭自动根证书更新