Woher bekomme ich Stammzertifizierungsstellenzertifikate für Windows Server, wenn Microsoft sie nicht mehr aktualisiert?

12

Microsoft hat im Januar 2013 die Updates für Stammzertifizierungsstellen von WSUS entfernt . Ich habe jetzt einige Neuinstallationen von Windows Server 2012, bei denen nicht genügend Stammzertifizierungsstellen vorhanden sind (im Grunde genommen nur Microsoft-eigene Zertifizierungsstellen). Dies bedeutet, dass bei jedem Aufruf eines https-Webdienstes durch unsere Anwendung ein Fehler auftritt, es sei denn, ich installiere speziell die Stammzertifizierungsstelle.

Da unsere Anwendung die SSL-Terminierung bei einem Load Balancer verwendet, muss ich mir keine Gedanken über die 16-KB-SChannel-Einschränkung machen, die Microsoft zum Entfernen dieser Updates aufforderte. Ich möchte eine Ressource zum Installieren und Aktualisieren von Standard-Stammzertifizierungsstellen finden. Kennt jemand eine solche Ressource?

Hier ist ein Image der Standard-Stammzertifizierungsstellen in WS2012. Standard-WS2012-Stammzertifizierungsstellen

pdubs
quelle
4
Warten Sie wirklich? Sie stellen keine Basisgruppe vertrauenswürdiger Zertifizierungsstellen mehr für Neuinstallationen bereit? Das scheint .. fehlgeleitet.
Shane Madden
3
Ich habe diesen Artikel gelesen und er bezieht sich hauptsächlich auf XP / 2003 und darunter, oder? Vista / 2808 und höher verwenden eine andere Methode zum automatischen Aktualisieren ihrer Stammverzeichnisse. Die Methode kann angeblich von einer Gruppenrichtlinie gesteuert werden. Ich würde vermuten, dass es im Jahr 2012 deaktiviert ist, aber aktiviert werden kann? - Siehe technet.microsoft.com/en-us/library/cc733922(v=ws.10).aspx und technet.microsoft.com/en-us/library/…
Zoredache
@Zoredache Guter Aufruf der GPO-Einstellung. Sieht so aus, als wäre das im WS2012 noch da. Wenn du das als Antwort schreibst, akzeptiere ich es.
Pdubs
Mach weiter und antworte selbst, ob das für dich funktioniert. Ich mag es nicht wirklich, eine Antwort zu geben, wenn ich wirklich nur eine vage Idee habe und keine gute Möglichkeit zum Testen / Replizieren.
Zoredache

Antworten:

10

Es scheint, dass dies an dem merkwürdigen Gruppenrichtlinienobjekt liegt, das meine Firma verwendet.

Wie hier beschrieben, war die Gruppenrichtlinienobjekteinstellung Computerkonfiguration \ Administrative Vorlagen \ System \ Verwaltung der Internetkommunikation \ Automatische Aktualisierung von Stammzertifikaten deaktivieren aktiviert , was bedeutet, dass das Betriebssystem keine Stammzertifizierungsstellen von Microsoft abruft. Das Setzen auf Deaktiviert behebt das Problem.

pdubs
quelle
4

Wir haben festgestellt, dass die Stammzertifizierungsstellen auf einigen unserer Windows 2012 R2-Server veraltet sind.

Nachdem dies untersucht wurde, hat Microsoft anscheinend einen Patch veröffentlicht, mit dem die Funktion " Steuern der Stammzertifikatsaktualisierung, um den Informationsfluss zum und vom Internet zu verhindern " ( KB-Artikel ) bereitgestellt werden kann .

Mit diesem Patch werden neue Registrierungsschlüssel eingeführt, mit denen Windows Update zusammen mit anderen Funktionen daran gehindert wird, die Stammzertifizierungsstellen zu aktualisieren.

Das Festlegen des folgenden Registrierungsschlüssels auf 0 behebt das Problem. Die Zertifikate werden sofort nach der Änderung installiert.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Ich kann zwar feststellen, dass Administratoren möglicherweise die Aktualisierung ihrer Computer ohne deren Zustimmung verhindern möchten, aber ich denke, dass das Nichtzulassen der Aktualisierung von Stammzertifizierungsstellen ein Randfall ist, der wahrscheinlich mehr Probleme verursacht, die dadurch behoben werden, und ich weiß noch nicht, warum der Registrierungsschlüssel verwendet wird wurde auf unseren Servern eingestellt.

Hier werden diese Registrierungsschlüssel und andere Aktionen erläutert, die Sie auf Windows 2012 R2-Servern ausführen können

CarlR
quelle
0

Wenn es sonst niemand sagen wird, werde ich es tun. Microsoft hat es vor Jahren vermasselt und ein Update für die vertrauenswürdigen Stammzertifizierungsstellen veröffentlicht, durch das ein Rechner beschädigt wurde, der das Update erhalten konnte, bevor Microsoft das Update abrief. Bis heute beschäftige ich mich mit diesem Problem.

Da ich die Auswirkungen auf die Sicherheit verstehe, biete ich keine direkten Links zu diesen Themen. Stattdessen sucht man in Google nach folgenden Informationen:

Durch das Update KB3004394 wird das Stammzertifikat in Windows 7 / Windows Server 2008 R2 beschädigt

Microsoft veröffentlicht den 'Silver Bullet'-Patch KB 3024777, um KB 3004394 zu entfernen

Und der, den ich erlebt habe und der bis heute unzählige Probleme verursacht:

SSL / TLS-Kommunikationsprobleme nach der Installation von KB 931125

In diesem Paket wurden mehr als 330 Root-Zertifizierungsstellen von Drittanbietern installiert. Gegenwärtig beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 KB. Wenn Sie über eine große Anzahl von Root-Zertifizierungsstellen von Drittanbietern verfügen, wird das 16-KB-Limit überschritten, und es treten TLS / SSL-Kommunikationsprobleme auf.

Ein weiterer Grund ist, dass Microsoft im Laufe der Jahre einer Reihe von Stammzertifizierungsstellen misstraut. Lazy Admins deaktivieren diese Funktion einfach für ihre Intranetserver und lösen niemals das Root-Problem - sie signieren alles, was nicht mehr vertrauenswürdig ist.

Eine einfache Antwort ist die Verwendung eines anderen Codesignaturzertifikats.

Edwin
quelle