我有一个企业 PKI。我的颁发 CA 是我的 Active Directory 的一部分。
对于 Windows 软件包发布者,我颁发了一个代码签名证书,该证书通常应在我的整个 AD 结构中有效(由我的颁发 CA 签名)。但我仍然必须为每台想要使用 WPP 部署第三方更新的计算机导入代码签名证书。
如果代码签名证书未在本地计算机上本地导入,那么为什么 WSUS 不会信任 WPP 包?
答案1
此要求记录在建立信任关系以及其他地方。关键点在于第三方 WSUS 软件包使用的特定代码签名证书必须位于受信任的发布者存储中,这不仅仅是软件包由任何有效證書。
请特别注意以下段落:
重要的启用本地发布存在安全隐患;您的更新客户端和服务器现在将信任使用上述证书签名的代码。出于安全原因,如果您选择启用本地发布,我们强烈建议您限制对代码签名证书私钥的访问,并将更新服务器配置为使用 SSL 进行所有通信。
基本上,如果 Windows Update 客户端接受带有任何有效证书的软件包,那么客户端就容易受到针对您的 WSUS 服务器或 Windows Update 本身的中间人攻击。默认情况下,只接受由 Microsoft 签名的软件包。您需要告诉您的客户端,他们还需要接受您签名的软件包,您可以通过将该特定证书导入受信任的发布者存储来实现这一点。
请注意,在企业 PKI 方案中,根证书通常会通过组策略自动导出到客户端,但这只会使其具有与任何其他公认的证书颁发机构相同的信任级别。Windows 不会将您的 CA 颁发的证书与其他证书区别对待。