未受影响的 PC(Windows 10 Pro 连接到 AD DS 域)
受影响的电脑(Windows 10 Pro 独立版)
哪些原因可能导致中间 CA 证书丢失而不是根 CA 证书丢失?
我已经验证本地策略Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off Automatic Root Certificates Update
尚未配置。
我已经验证 Windows 服务Cryptographic Services
/CryptSvc
正在运行,并且重新启动它没有任何作用。
据我所知,我发现没有记录相关事件。
Windows 根证书程序使受信任的根证书能够在 Windows 中自动分发。通常,客户端计算机每周轮询一次根证书更新。
如何手动强制更新?
答案1
提供 TLS/SSL 连接的服务器(如 HTTPS Web 服务器)应向客户端发送全部链中的证书。即最终实体证书、所有下属 CA 以及可选的(但不是强制性的)根 CA 证书。
你的所谓的受影响的电脑这表明 Web 服务器配置错误,仅发送终端实体证书。您的浏览器会获取此证书,但无法将其链接到安装在信任锚存储中的根 CA。
你的不受影响的 PC显示的症状是 Windows 计算机在其证书存储中缓存了下属 CA 证书。当用户浏览使用相同下属 CA 的另一个网站时,通常会将这些证书放在那里,但该网站的管理员知道他们在做什么 :-) PC 仍然只从服务器接收终端实体证书,但由于它缓存了下属 CA 证书,因此它可以将它们连接在一起并构建链。
现在,Windows 可以从存储库下载任何从属 CA,但这仅在以下情况下才有效:(a) 此存储库的 URL 包含在证书中,(b) 证书实际上安装在该存储库中,并且 (c) 存储库在线且可访问。