Моя компания распространяет установщик Windows для продукта на базе сервера. Согласно передовой практике он подписывается с использованием сертификата. В соответствии с Совет Microsoft мы используем Сертификат подписи кода GlobalSign, который, по утверждению Microsoft, распознается по умолчанию всеми версиями Windows Server.
Теперь все это работает хорошо, если сервер не был настроен с Групповая политика: Конфигурация компьютера / Административные шаблоны / Система / Управление подключением к Интернету / Параметры подключения к Интернету / Отключить автоматическое обновление корневого сертификата так как Включено.
Мы обнаружили, что один из наших ранних бета-тестеров работал с этой конфигурацией, что привело к следующей ошибке во время установки
Невозможно установить требуемый файл, поскольку CAB-файл [длинный путь к CAB-файлу] имеет недопустимую цифровую подпись. Это может указывать на то, что CAB-файл поврежден.
Мы списали это на странность, ведь никто не мог объяснить, почему система была настроена именно так. Однако теперь, когда программное обеспечение доступно для общего использования, похоже, что двузначная цифра (процент) наших клиентов настроена с этим параметром, и никто не знает почему. Многие не хотят менять настройку.
Мы написали Статья в базе знаний для наших клиентов, но мы действительно не хотим, чтобы проблема возникла вообще, поскольку мы действительно заботимся об их опыте.
Некоторые вещи мы заметили, исследуя это:
Итак, вот мой вопрос еще раз. Почему так часто отключают обновление корневых сертификатов? Каковы возможные побочные эффекты повторного включения обновлений? Я хочу убедиться, что мы можем предоставить нашим клиентам соответствующие рекомендации.
В конце 2012 - начале 2013 года возникла проблема с автоматическим обновлением корневого сертификата. Временное исправление заключалось в отключении автоматических обновлений, поэтому частично эта проблема является исторической.
Другая причина - это программа Trusted Root Certificate и Root Certificate Distribution, которые (перефразируя Microsoft) ...
Корневые сертификаты обновляются в Windows автоматически. Когда [система] обнаруживает новый корневой сертификат, программа проверки цепочки сертификатов Windows проверяет соответствующее расположение Центра обновления Майкрософт для корневого сертификата.
Пока все хорошо, но потом ...
Если он его находит, он загружает его в систему. Для пользователя опыт безупречен. Пользователь не видит диалоговых окон безопасности или предупреждений. Загрузка происходит автоматически, за кулисами.
Когда это происходит, может показаться, что сертификаты автоматически добавляются в корневое хранилище. Все это заставляет некоторых системных администраторов нервничать, так как вы не можете удалить «плохой» ЦС из инструментов управления сертификатами, потому что их нет для удаления ...
На самом деле есть способы заставить окна загружать полный список, чтобы они могли редактировать его по своему желанию, но обычно просто блокируют обновления. Большое количество системных администраторов не понимают шифрование или безопасность (как правило), поэтому они безоговорочно следуют полученной мудрости (правильной или иной), и им не нравится вносить изменения в вещи, связанные с безопасностью, которые они не полностью понимают, полагая, что это так. какое-то черное искусство.
В Компонент автоматического обновления корневых сертификатов предназначен для автоматической проверки списка доверенных центров на веб-сайте Microsoft Windows Update. В частности, на локальном компьютере хранится список доверенных корневых центров сертификации (ЦС). Когда приложению предоставляется сертификат, выданный ЦС, оно проверяет локальную копию списка доверенных корневых ЦС. Если сертификата нет в списке, компонент автоматического обновления корневых сертификатов свяжется с веб-сайтом Microsoft Windows Update, чтобы узнать, доступно ли обновление. Если ЦС был добавлен в список доверенных ЦС Microsoft, его сертификат будет автоматически добавлен в хранилище доверенных сертификатов на компьютере.
Почему так часто отключают обновление корневых сертификатов?
Короткий ответ, вероятно, заключается в контроле. Если вы хотите контролировать доверенные корневые центры сертификации (вместо того, чтобы использовать эту функцию и позволять Microsoft делать это за вас), проще и безопаснее всего составить список корневых центров сертификации, которым вы хотите доверять, и распространить их на компьютеры вашего домена. , а затем заблокируйте этот список. Поскольку изменения в списке корневых центров сертификации, которым организация хочет доверять, будут относительно редкими, имеет определенный смысл, что администратор захочет просмотреть и утвердить любые изменения, а не разрешать автоматическое обновление.
Откровенно говоря, если никто не знает, почему этот параметр включен в данной среде, это означает, что его не следует устанавливать.
Каковы потенциальные побочные эффекты повторного включения обновлений?
Компьютерам домена будет разрешено проверять список доверенных центров сертификации на сайте Microsoft Windows Update и потенциально добавлять новые сертификаты в свое хранилище доверенных сертификатов.
Если это неприемлемо для ваших клиентов / клиентов, сертификаты могут распространяться с помощью GPO, и им необходимо будет включить ваш сертификат в любой метод распространения, который они в настоящее время используют для доверенных сертификатов.
Или вы всегда можете предложить временно отключить эту политику, чтобы разрешить установку вашего продукта.
Я бы не согласился, что это обычное дело. Лучше всего это сформулировать, спросив, почему кто-то отключил его. И лучшим решением вашей проблемы было бы, чтобы установщик проверил сертификаты корневого / промежуточного ЦС и установил их, если они отсутствуют.
Программа Trusted Root CA очень важна. ТОННА приложений просто не будет работать так, как ожидалось, если бы они были широко отключены. Конечно, некоторые организации могут отключать эту функцию, но это действительно зависит от организаций, исходя из их требований. Это ошибочное предположение, что любое приложение, которому требуется внешняя зависимость (корневой сертификат), всегда будет работать без его тестирования. И разработчики приложений, и организации, которые отключают эту функцию, несут ответственность за обеспечение наличия внешней зависимости (корневого сертификата). Это означает, что если организация отключит это, они знают, что следует ожидать этой проблемы (или скоро узнают об этом).
Также стоит отметить, что одна из полезных целей программного механизма Trusted Root CA (динамическая установка сертификатов корневого CA) заключается в том, что установка всех или даже большинства известных / доверенных сертификатов корневого CA нецелесообразна. Некоторые компоненты в Windows ломаются, если установлено слишком много сертификатов, поэтому единственно возможный способ - установить только те сертификаты, которые необходимы, когда они нужны.
"Проблема заключается в следующем: пакет безопасности SChannel, используемый для отправки доверенных сертификатов клиентам, имеет ограничение в 16 КБ. Таким образом, наличие слишком большого количества сертификатов в хранилище может помешать серверам TLS отправлять необходимую информацию о сертификате; они начинают отправку, но должны останавливаться, когда они достигают 16 КБ. Если у клиентов нет нужной информации о сертификате, они не могут использовать службы, требующие TLS для аутентификации. Поскольку пакет обновления корневого сертификата, доступный в KB 931125, вручную добавляет большое количество сертификатов в хранилище, применяя его к результатам на серверах в магазине превышает лимит в 16 КБ и есть вероятность сбоя аутентификации TLS ".
Моя причина отключения службы certif.service следующая:
У меня много систем без подключения к Интернету. Также в большинстве случаев им не хватает display / kb / mouse из-за того, что это виртуальные машины на большом DatastoreServer. Поэтому во всех случаях, когда они нуждаются в обслуживании / модификации, я использую Windows RDP, чтобы добраться до них. Если вы подключаетесь к машине через RDP, Windows сначала проверяет обновления сертификатов в Интернете. Если у вашего сервера / клиента нет интернета, он зависает на 10-20 секунд, прежде чем продолжить соединение.
Каждый день я устанавливаю много RDP-подключений. Я экономлю часы, не глядя на сообщение: "Обеспечение удаленного соединения" :) +1 за отключение certif.service!
Я знаю, что это более старая ветка; однако я хотел бы предложить альтернативное решение. Используйте центр сертификации (ROOT CA), отличный от того, который вы используете. Другими словами, переключите свой сертификат подписи на тот, который имеет более старый утвержденный корневой ЦС.
DIGICert предлагает это при запросе сертификата. Хотя это может не быть вашим корневым центром сертификации по умолчанию в вашей учетной записи DIGICert, этот вариант доступен при отправке им CSR. Кстати, я не работаю в DIGICert и не получаю никакой выгоды, рекомендуя их ... Я просто чувствую эту боль и потратил слишком много часов на то, чтобы сэкономить 1000 долларов США на дешевом сертификате, тогда как я мог бы купить более дорогой сертификат и потратить много меньше времени на решение вопросов поддержки. Это просто пример. Есть и другие поставщики сертификатов, предлагающие то же самое.
99% совместимость Корневые сертификаты DigiCert являются одними из самых надежных сертификатов в мире. Таким образом, они автоматически распознаются всеми распространенными веб-браузерами, мобильными устройствами и почтовыми клиентами.
Предостережение - если вы выбрали правильный корневой CA при создании CSR.