为什么许多管理员使用“关闭自动根证书更新”策略?

为什么许多管理员使用“关闭自动根证书更新”策略?

我的公司分发了一款基于服务器产品的 Windows 安装程序。根据最佳实践,它是使用证书签名的。根据微软的建议我们使用GlobalSign 代码签名证书微软声称所有 Windows Server 版本都默认识别该功能。

现在,这一切都运行正常,除非服务器配置了组策略:计算机配置/管理模板/系统/Internet 通信管理/Internet 通信设置/关闭自动根证书更新作为已启用

我们发现我们的一位早期 beta 测试人员正在使用此配置,导致安装过程中出现以下错误

无法安装所需文件,因为 cab 文件 [cab 文件的长路径] 具有无效的数字签名。这可能表明 cab 文件已损坏。

我们认为这只是一个怪事,毕竟没人能解释系统为何如此配置。然而,现在该软件已可供一般使用,看来我们的两位数(百分比)客户都配置了此设置,但没人知道原因。许多人都不愿意更改设置。

我们已经写了一个知识库文章对于我们的客户来说,但我们真的不希望问题发生,因为我们真正关心的是客户体验。

在调查此事时我们注意到了一些事情:

  1. 全新安装的 Windows Server 不会在受信任的根颁发机构列表中显示 Globalsign 证书。
  2. 在 Windows Server 未连接到互联网的情况下,安装我们的软件工作正常。安装结束时,Globalsign 证书已存在(不是我们导入的)。在后台,Windows 似乎在首次使用时透明地安装它。

所以,我又要问这个问题了。为什么禁用根证书更新如此普遍?再次启用更新可能产生哪些副作用?我想确保我们能够为客户提供适当的指导。

答案1

2012 年末 / 2013 年初,自动根证书更新出现了问题。临时修复是禁用自动更新,因此这个问题部分是历史遗留问题。

另一个原因是受信任的根证书程序和根证书分发,(换句话说微软)...

根证书在 Windows 上自动更新。当 [系统] 遇到新的根证书时,Windows 证书链验证软件会检查根证书的相应 Microsoft 更新位置。

到目前为止一切都很好,但是...

如果找到,它会将其下载到系统中。对于用户来说,体验是无缝的。用户不会看到任何安全对话框或警告。下载是在后台自动进行的。

当这种情况发生时,证书似乎被自动添加到根存储中。所有这些都让一些系统管理员感到紧张,因为您无法从证书管理工具中删除“坏”CA,因为他们不在现场……

实际上,有办法让 Windows 下载完整列表,以便他们可以随意编辑,但通常只是阻止更新。许多系统管理员不了解加密或安全性(一般而言),因此他们毫无疑问地遵循公认的智慧(无论正确与否),并且他们不喜欢对他们不完全了解的涉及安全性的事情进行更改,认为这是某种暗黑艺术。

答案2

自动根证书更新组件旨在自动检查 Microsoft Windows Update 网站上的受信任颁发机构列表。具体来说,本地计算机上存储着受信任的根证书颁发机构 (CA) 列表。当应用程序收到由 CA 颁发的证书时,它将检查受信任的根 CA 列表的本地副本。如果证书不在列表中,则自动根证书更新组件将联系 Microsoft Windows Update 网站以查看是否有可用的更新。如果 CA 已添加到 Microsoft 受信任的 CA 列表中,则其证书将自动添加到计算机上的受信任证书存储中。

为什么禁用根证书更新如此普遍?

简短的回答可能是关于控制。如果您想控制哪些根 CA 是可信的(而不是使用此功能并让 Microsoft 为您执行此操作),最简单、最安全的做法是列出您想要信任的根 CA 列表,将它们分发到您的域计算机,然后锁定该列表。由于组织想要信任的根 CA 列表的更改相对较少,因此管理员希望审查和批准任何更改而不是允许自动更新是有一定道理的。

坦率地说,如果没有人知道为什么在给定环境中启用此设置,则意味着不应该设置它。

再次启用更新可能产生哪些副作用?

域中的计算机可以检查 Microsoft Windows 更新网站上的受信任 CA 列表,并可能将新证书添加到其受信任的证书存储中。

如果您的客户无法接受这一点,则可以通过 GPO 分发证书,并且他们需要将您的证书包含在他们当前用于受信任证书的任何分发方法中。

或者您可以建议暂时禁用此特定策略,以允许安装您的产品。

答案3

我禁用 certif.service 的原因如下:

我有许多没有互联网连接的系统。而且在大多数情况下,它们缺少显示器/键盘/鼠标,因为它们是大型 DatastoreServer 上的虚拟机。因此,在所有需要维护/修改的情况下,我都使用 Windows RDP 来访问它们。如果您通过 RDP 连接到计算机,Windows 会首先在线检查证书更新。如果您的服务器/客户端没有互联网,它会挂起 10-20 秒后再继续连接。

我每天都会进行大量的 RDP 连接。我不用盯着消息“保护远程连接”就可以节省几个小时:)+1 禁用 certif.service!

答案4

我知道这是一个较旧的线程;但是,我想提交一个替代解决方案。使用除您正在使用的证书颁发机构 (ROOT CA) 之外的其他证书颁发机构。换句话说,将您的签名证书切换到具有更旧、已获批准的根 CA 的证书。

DIGICert 在请求证书时提供此功能。虽然这可能不是您 DIGICert 帐户中的默认根 CA,但它是向他们提交 CSR 时可用的选项。顺便说一句,我不为 DIGICert 工作,推荐他们也没有给我带来任何好处。我只是感受到了这种痛苦,我花了太多时间在便宜的证书上节省 1000 美元,而我本可以购买更昂贵的证书,花更少的时间来处理支持问题。这只是一个例子。还有其他证书提供商提供同样的服务。

99% 兼容性 DigiCert 根证书是世界上最受信任的权威证书之一。因此,所有常见的 Web 浏览器、移动设备和邮件客户端都会自动识别它们。

警告 - 如果您在制作 CSR 时选择了正确的根 CA。

相关内容