Где получить сертификаты корневого ЦС для Windows Server, когда Microsoft больше не обновляет их?
Microsoft удалены обновления корневого ЦС из WSUS в январе 2013 года. Теперь у меня есть несколько свежих установок Windows Server 2012 с недостаточным набором корневых центров сертификации (в основном это только собственные центры сертификации Microsoft). Это означает, что всякий раз, когда наше приложение вызывает веб-службу https, оно завершается ошибкой, если я специально не установлю корневой центр сертификации.
Поскольку наше приложение использует завершение SSL на балансировщике нагрузки, мне не нужно беспокоиться об ограничении SChannel в 16 КБ, которое побудило Microsoft удалить эти обновления. Я бы хотел найти ресурс для установки и обновления стандартных корневых центров сертификации. Кто-нибудь знает о таком ресурсе?
Вот изображение корневых центров сертификации по умолчанию в WS2012. 
Похоже, это из-за необычного объекта групповой политики, который использует моя компания.
Как указано Вот настройка GPO Конфигурация компьютера \ Административные шаблоны \ Система \ Управление интернет-связью \ Отключить автоматическое обновление корневых сертификатов был Включено, что означает, что ОС не будет извлекать корневые центры сертификации от Microsoft. Установив это на Отключено исправил проблему.
Мы обнаружили, что корневые центры сертификации на некоторых наших серверах Windows 2012 R2 устарели.
Изучив это, похоже, Microsoft выпустила патч, обеспечивающий возможность "Управление функцией обновления корневых сертификатов для предотвращения потока информации в Интернет и из Интернета"(Статья в базе знаний).
Этот патч представляет новые ключи реестра, которые не позволяют Центру сертификации Windows обновлять корневые центры сертификации, а также другие функции.
Установка для следующего раздела реестра значения 0 устраняет проблему. Сертификаты начинают установку сразу после изменения.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate
Хотя я вижу, что администраторы могут захотеть контролировать свои машины для обновления без их согласия, я думаю, что запрет на обновление корневых центров сертификации является крайним случаем, который может вызвать больше проблем, которые он устраняет, и я еще не знаю, почему раздел реестра установлен на наших серверах.
Обсуждаются эти ключи реестра и другие вещи, которые вы можете делать на серверах Windows 2012 R2. Вот
Если никто этого не скажет, скажу я. Microsoft облажалась несколько лет назад и опубликовала обновление для доверенных корневых центров сертификации, которое сломало любую машину, которой посчастливилось получить это обновление до того, как Microsoft установила обновление. По сей день я все еще занимаюсь этой проблемой.
Поскольку я понимаю последствия для безопасности, я не даю прямых ссылок на эти проблемы. Вместо этого это то, что ищут в Google, чтобы найти соответствующую информацию:
Обновление KB3004394 нарушает работу корневого сертификата в Windows 7 / Windows Server 2008 R2
Microsoft выпускает патч Silver Bullet KB 3024777 для устранения KB 3004394
И тот, который я испытал и по сей день вызывает бесчисленное множество проблем:
Проблемы связи SSL / TLS после установки KB 931125
В этом пакете установлено более 330 сторонних корневых центров сертификации. В настоящее время максимальный размер списка доверенных центров сертификации, поддерживаемых пакетом безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых центров сертификации превысит предел в 16 КБ, и вы столкнетесь с проблемами связи TLS / SSL.
Другая причина заключается в том, что на протяжении многих лет Microsoft не доверяла ряду корневых центров сертификации. Ленивые администраторы просто отключат эту функцию для своих серверов интрасети и никогда не решат основную проблему - переподписав все, что больше не доверяет.
В любом случае, простой ответ - использовать другой сертификат подписи кода.