Windows 2012R2 似乎会自动下载并安装中间根证书

Windows 2012R2 似乎会自动下载并安装中间根证书

在准备新的 Windows 2012R2 服务器用于生产时,我需要为支持我们应用程序的网站安装 (GlobalSign 域) SSL 证书。我通过生成证书请求、提交给 GlobalSign,然后使用 PEM 格式的颁发证书完成请求来完成此操作。

通常情况下,我还必须去获取相关的 GlobalSign DomainSSL 中级证书并安装它。但是,一旦我配置了 IIS 站点绑定,相关的中级证书似乎就会自动安装。

我知道中间证书并不存在于本地计算机证书存储中:

Intermediate Certification Authorities -> Certificates

...在证书 MMC 管理单元中。

我首先进行了检查,然后当它神奇地出现时,我.pfx在原始 2012R2 服务器上运行了 SSL 证书导入和 IIS 绑定配置,并确认中间证书确实已自动安装。

我不记得 Windows 2008/R2 发生过这种情况。这是新功能,还是默认启用的以前没有启用的功能?

更新:

布赖恩的回答解释了我上面提到的第二台“原始”服务器上出现中间证书的原因。我确实将证书导出为文件.pfx并将其导入到另一台服务器上。使用该openssl工具检查发现存在根证书和中间证书。

然而...在原始服务器上,我完成了待处理的证书请求,并且只加载了“PEM”格式的证书。这不包括根/中间证书(我已检查过openssl)。

答案1

“.pfx”文件是PKCS#12 档案:一种用于将许多加密对象存储为单个文件的存档文件格式。它通常用于 [snip] 捆绑 X.509 证书和信任链的所有成员。

您已将中级证书与 SSL 证书一起导入。

答案2

我以前也见过这种情况,我们遇到了一些麻烦,所以我才查看了这个问题。我的 Windows 7(SP1,企业版)系统也出现了同样的情况。使用 Wireshark 和 Sysinternals 的进程监视器进行深入研究后,发现了以下情况。

我的一家证书存储区有一个 COMODO 签名证书,但其证书链上的证书 (b9b4c7a...) 在我的任何证书存储区中都不可用。但该证书有一个“授权信息访问”属性,其中包含 URLhttp://crt.comodoca.com/COMODOHigh-AssuranceSecureServerCA.crt

打开此证书(通过mmc.exe证书管理单元)以显示标准 Windows“证书”对话框,触发上述 URL 的下载,并将生成的 b9b4c7a... 证书放入当前用户的中级证书颁发机构存储

并且它也缓存在中,并且在和文件夹c:\users\<currentUser>\C:\Users\mklooste\AppData\LocalLow\Microsoft\CryptnetUrlCache中都有一个条目。MetadataContent

如果我现在重复相同的操作(从当前用户的中级证书颁发机构存储中删除证书后),那么它会再次恢复,但这次不是从 COMODO 下载而是从 复制CryptnewUrlCache

我找不到微软关于此功能的任何文档。不过,他们似乎遵循RFC 5280,第 4.2.2.1 节“授权信息访问”,其中写道:

引用的 CA 颁发者描述旨在帮助证书用户选择终止于证书用户信任点的认证路径。

答案3

这完全取决于您从证书颁发机构、GlobalSign、Comodo、Symantec(以前称为 VeriSign)收到的证书的格式。如果您收到的证书是 PKCS#7 格式,它将包含根证书和中间证书。如果您收到的证书是 x.509 格式,它通常不包含根证书和中间证书,因此您需要从证书颁发机构网站获取这些文件。我在 Windows IIS 6、7 和 8 中安装了证书,据我所知,推荐的格式是 PKCS#7。我没有使用 openssl。当您完成向导时,会自动安装根证书和中间证书。

您可以通过将收到的证书文件更改为 .txt 文件来查看它。您通常会看到 ===Begin Certification=== 和 ====End Certification===。如果您看到其中 3 或 4 个,则根证书和/或中间证书捆绑在该证书文件中。如果您只看到一个,则需要从证书颁发机构的站点获取根证书和中间证书。

相关内容