为什么我必须使用 GPO 分发我的 CA 签名的代码签名证书?

为什么我必须使用 GPO 分发我的 CA 签名的代码签名证书?

我有一个企业 PKI。我的颁发 CA 是我的 Active Directory 的一部分。

对于 Windows 软件包发布者,我颁发了一个代码签名证书,该证书通常应在我的整个 AD 结构中有效(由我的颁发 CA 签名)。但我仍然必须为每台想要使用 WPP 部署第三方更新的计算机导入代码签名证书。

如果代码签名证书未在本地计算机上本地导入,那么为什么 WSUS 不会信任 WPP 包?

答案1

此要求记录在建立信任关系以及其他地方。关键点在于第三方 WSUS 软件包使用的特定代码签名证书必须位于受信任的发布者存储中,这不仅仅是软件包由任何有效證書。

请特别注意以下段落:

重要的启用本地发布存在安全隐患;您的更新客户端和服务器现在将信任使用上述证书签名的代码。出于安全原因,如果您选择启用本地发布,我们强烈建议您限制对代码签名证书私钥的访问,并将更新服务器配置为使用 SSL 进行所有通信。

基本上,如果 Windows Update 客户端接受带有任何有效证书的软件包,那么客户端就容易受到针对您的 WSUS 服务器或 Windows Update 本身的中间人攻击。默认情况下,只接受由 Microsoft 签名的软件包。您需要告诉您的客户端,他们还需要接受您签名的软件包,您可以通过将该特定证书导入受信任的发布者存储来实现这一点。

请注意,在企业 PKI 方案中,根证书通常会通过组策略自动导出到客户端,但这只会使其具有与任何其他公认的证书颁发机构相同的信任级别。Windows 不会将您的 CA 颁发的证书与其他证书区别对待。

相关内容