Назад | Перейти на главную страницу

Почему я должен распространять свой сертификат подписи кода, подписанный ЦС, с GPO?

У меня есть корпоративная PKI. Мой выдающий ЦС является частью моей Active Directory.

Для издателя пакетов Windows я выпустил сертификат подписи кода, который обычно должен быть действителен во всей моей структуре AD (он подписан моим выдающим центром сертификации). Тем не менее, мне нужно импортировать сертификат подписи кода для каждого компьютера, на котором я хочу развертывать сторонние обновления с помощью WPP.

Есть идеи, почему WSUS не доверяет пакетам WPP, если сертификат подписи кода не импортируется локально на локальный компьютер?

Это требование задокументировано в Установление доверительных отношений и в другом месте. Ключевым моментом является то, что конкретный сертификат подписи кода, используемый сторонними пакетами WSUS, должен находиться в хранилище доверенных издателей, а не только в том, что пакеты подписываются любой действующий сертификат.

Обратите внимание, в частности, на следующий абзац:

Важный Включение локальной публикации влияет на безопасность; теперь ваши клиенты и серверы обновлений будут доверять коду, подписанному указанным выше сертификатом. По соображениям безопасности, если вы решите включить локальную публикацию, мы настоятельно рекомендуем вам ограничить доступ к закрытому ключу сертификата подписи кода и настроить сервер обновлений на использование SSL для всех коммуникаций.

По сути, если клиент Центра обновления Windows принимает пакеты с любым действительным сертификатом, клиенты будут уязвимы для атак типа «злоумышленник в середине» на ваш сервер WSUS или на сам Центр обновления Windows. По умолчанию принимаются только пакеты, подписанные Microsoft. Вы должны сообщить своим клиентам, что они также должны принимать пакеты, которые вы подписали, что вы делаете путем импорта этого конкретного сертификата в хранилище доверенных издателей.

Обратите внимание, что в сценарии корпоративной PKI корневой сертификат обычно автоматически экспортируется клиентам через групповую политику, но это просто дает ему такой же уровень доверия, как и любой другой признанный центр сертификации. Windows не обрабатывает сертификаты, выданные вашим центром сертификации, иначе, чем другие сертификаты.