我最近接到任务,将我们公司的一个 Web 应用服务器从 Server 2008 迁移到 Server 2012 R2。在新服务器上尝试下载一些应用程序进行设置时,我不断收到警告页面。在 Chrome 中,我通常访问的许多受信任网站(例如任何 msdn、technet 或 github 页面)都会显示警告页面“您的连接不是私密的”,并且地址栏中的挂锁显示:
“该网站的身份尚未得到验证。
- 服务器的证书不受信任。”
我想补充一点,我的角色是开发人员,而不是网络/服务器管理员,因此对于其他人来说,这个角色中可能有一些我还没有学到的显而易见的东西。
从我读到的这篇文章微软帖子受信任的证书应该会自动更新。我是否遗漏了什么?
答案1
如果证书是由 Microsoft 受信任根 CA 计划的一部分颁发机构颁发的,Windows 应在需要时尝试下载链中 CA 的证书。如果服务器无法下载链中的证书或策略不允许此功能,则这将无法按预期工作。您可能还想尝试使用 Internet Explorer 来查看自动下载是否按预期工作。您可以通过启用 CAPI2 事件日志获取有关证书问题的更多信息。
您还可以安装必需的自己在适当的存储中根/颁发证书,而不是依赖于此行为。(请注意,您不应尝试导入所有约 350 个证书,因为这会给您的服务器带来问题。)
对于 Chrome,如果证书是 EV 证书,则会适用其他限制。
Google Chrome 根证书政策
http://dev.chromium.org/Home/chromium-security/root-ca-policy
当前 Microsoft 受信任的根 CA 列表在此处发布:
Microsoft 受信任的根 CA 部署通知在此处发布: