Параметр групповой политики «Отключить автоматическое обновление корневых сертификатов» не позволяет Windows удалять сертификаты, которые она не может проверить.
Если третья сторона предоставила мне свой собственный самозаверяющий корневой сертификат, я не вижу другого варианта, кроме как отключить автоматическое обновление корневого сертификата, иначе их самозаверяющий сертификат будет удален в какой-то момент из-за правил групповой политики.
Отключать эту проверку небезопасно?
Есть ли у меня другие варианты? Могу ли я установить более детальные правила, чтобы Windows не удаляла конкретный сертификат, а продолжала обновлять другие установленные мной?
Примечание:
Я использую базовое приложение C # для развертывания сертификата, используя следующий код:
X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer");
X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadWrite);
store.Add(certificate);
store.Close();
Мне нужно установить сертификат с помощью кода, так как мое программное обеспечение работает как часть фермы из нескольких машин, где нецелесообразно устанавливать что-либо вручную.
Кроме того, машины входят в рабочую группу, а НЕ в домен.
Насколько мне известно, сертификаты развернут через групповую политику не удаляется при запуске автоматического обновления корневых сертификатов.
Я не могу найти точную ссылку от MSFT. Вот как я развертываю частные корневые сертификаты ЦС в средах моих клиентов, и у меня не было проблем с их автоматическим удалением. (Конечно, теперь, когда я это говорю ...> вздох <)
Существует два варианта распространения настраиваемого корневого сертификата среди членов домена:
этот параметр следует использовать, когда только определенные члены домена должны устанавливать этот сертификат (поскольку GPO поддерживает таргетинг) или есть определенные настраиваемые атрибуты.
Этот метод используется для публикации сертификата корневого центра сертификации для всех членов леса AD (в то время как метод GPO может использоваться только в пределах определенного домена / сайта). Также этот метод поддерживает командную строку (в отличие от метода GPO):
certutil -dspublish <path\certfilename.crt> RootCA
где <path\certfilename.crt> - это путь к файлу сертификата. Клиенты загрузят этот сертификат из AD во время следующего триггера автоматической регистрации.