Я пытаюсь создать сервер Windows с сервером IIS, на котором есть веб-сайт с проверкой подлинности сертификата клиента. Сертификаты клиентов подписаны нашим собственным корневым центром сертификации. Из-за этого мы должны импортировать этот CA в доверенные корневые центры на сервере. Я могу успешно импортировать сертификат, и иногда первый запрос к серверу выполняется успешно. К сожалению, Windows удаляет сертификаты CA довольно быстро, и после этого запрос к серверу перестает работать с ошибками 403. В средстве просмотра событий я обнаружил следующее:
Успешное автоматическое удаление стороннего корневого сертификата :: Тема: отпечаток Sha1: <"отпечаток нашего сертификата">.
Как мне заставить Windows перестать это делать? Сервер работает на Amazon EC2, и мы не хотим использовать пользовательский AMI. Поэтому мне нужно отключить это с помощью сценария (желательно PowerShell).
У вас должна быть возможность установить соответствующий параметр групповой политики (отключить автоматическое обновление корневого сертификата) с помощью сценария с помощью найденной команды LOCALGPO Вот или установив значение реестра напрямую:
Key: HKLM\Software\Policies\Microsoft\SystemCertificates\AuthRoot\
Name: DisableRootAutoUpdate
Value: 1
Type: REG_DWORD