我正在尝试使用 IIS 服务器创建一个 Windows 服务器,该服务器具有一个带有客户端证书身份验证的网站。客户端证书由我们自己的根 CA 签名。因此,我们必须将该 CA 导入服务器的受信任根颁发机构。我可以成功导入证书,有时对服务器的第一次请求会成功。不幸的是,Windows 会很快删除 CA 证书,之后对服务器的请求开始失败并出现 403 错误。我在事件查看器中发现以下内容:
成功自动删除第三方根证书:: 主题:Sha1 指纹:<“我们的证书的指纹”>。
我如何让 Windows 停止这样做?服务器在 Amazon EC2 上运行,我们想避免使用自定义 AMI。因此,我需要能够使用脚本(最好是 PowerShell)禁用此功能。
答案1
您应该能够使用找到的 LOCALGPO 命令通过脚本设置相关的组策略设置(关闭自动根证书更新)这里或者直接设置注册表值:
Key: HKLM\Software\Policies\Microsoft\SystemCertificates\AuthRoot\
Name: DisableRootAutoUpdate
Value: 1
Type: REG_DWORD