Windows 2012R2 scheint zwischengeschaltete Stammzertifikate automatisch herunterzuladen und zu installieren

Während ich einen neuen Windows 2012R2-Server für die Produktion vorbereitete, musste ich ein SSL-Zertifikat (GlobalSign Domain) für die Website installieren, auf der unsere Anwendung betrieben wird. Dazu habe ich eine Zertifikatsanforderung generiert, an GlobalSign gesendet und die Anforderung dann mit dem PEM-formatierten ausgestellten Zertifikat abgeschlossen.

Normalerweise müsste ich auch das entsprechende GlobalSign DomainSSL-Zwischenzertifikat holen und dieses ebenfalls installieren. Das entsprechende Zwischenzertifikat schien jedoch automatisch installiert zu werden, sobald ich meine IIS-Site-Bindungen konfiguriert hatte.

Ich weiß, dass das Zwischenzertifikat im lokalen Computerzertifikatsspeicher nicht vorhanden war unter:

Intermediate Certification Authorities -> Certificates

... im Zertifikat-MMC-Snap-In.

Ich habe zuerst nachgesehen und dann, als es auf magische Weise erschien, meinen SSL-Zertifikatimport .pfxund die IIS-Bindungskonfiguration auf einem jungfräulichen 2012R2-Server durchlaufen und bestätigt, dass das Zwischenzertifikat tatsächlich automatisch installiert wurde.

Ich erinnere mich nicht, dass dies mit Windows 2008 / R2 passiert ist. Ist dies eine neue Funktion oder etwas, das standardmäßig aktiviert ist und zuvor noch nicht aktiviert war?

Aktualisieren:

Die Antwort von HBruijn erklärt das Erscheinen des Zwischenzertifikats auf meinem zweiten "jungfräulichen" Server, der oben erwähnt wurde. Ich habe das Zertifikat tatsächlich als .pfxDatei exportiert und auf den anderen Server importiert. Das Überprüfen mit dem opensslWerkzeug zeigt das Vorhandensein der Stamm- und Zwischenzertifikate.

Auf dem ursprünglichen Server habe ich jedoch eine ausstehende Zertifikatanforderung abgeschlossen und nur das mit "PEM" formatierte Zertifikat geladen. Dies beinhaltet nicht die Stamm- / Zwischenzertifikate (die ich überprüft habe openssl).

Eine ".pfx" -Datei ist ein PKCS # 12-Archiv : Ein Archivdateiformat zum Speichern vieler Kryptografieobjekte als einzelne Datei. Es wird häufig verwendet, um ein X.509-Zertifikat und alle Mitglieder einer Vertrauenskette zu [schnipsen].

Sie haben das Zwischenzertifikat zusammen mit dem SSL-Zertifikat importiert.

Ich habe dies auch in der Vergangenheit gesehen, und wir hatten einige Probleme, die mich veranlassten, mir das anzuschauen. Mein Windows 7-System (SP1, Enterprise) macht dasselbe. Das Herumgraben mit dem Prozessmonitor von Wireshark und Sysinternals zeigt Folgendes.

Einer meiner Zertifikatspeicher verfügt über ein von COMODO signiertes Zertifikat, für das ein Zertifikat in der Kette (b9b4c7a ...) in keinem meiner Zertifikatspeicher verfügbar ist. Das Zertifikat verfügt jedoch über die Eigenschaft 'Authority Information Access', die die URL http://crt.comodoca.com/COMODOHigh-AssuranceSecureServerCA.crt enthält .

Das Öffnen dieses Zertifikats (über mmc.exedas Snap-In "Zertifikate"), um das Standarddialogfeld "Zertifikat" von Windows anzuzeigen, löst einen Download der obigen URL aus, und das resultierende Zertifikat b9b4c7a ... wird für den aktuellen Benutzer im Speicher für Zwischenzertifizierungsstellen abgelegt .

Und es wird auch im gespeichert c:\users\<currentUser>\C:\Users\mklooste\AppData\LocalLow\Microsoft\CryptnetUrlCache, mit einem Eintrag sowohl im Metadataals auch im ContentOrdner.

Wenn ich jetzt dieselbe Aktion wiederhole (nachdem ich das Zertifikat aus dem Zwischenzertifizierungsstellen-Speicher des aktuellen Benutzers gelöscht habe), wird es erneut wiederhergestellt, diesmal jedoch nicht von COMODO heruntergeladen, sondern aus dem kopiert CryptnewUrlCache.

Ich konnte keine Dokumentation zu dieser Funktion von Microsoft finden. Sie scheinen jedoch RFC 5280, Abschnitt 4.2.2.1, "Zugriff auf Autoritätsinformationen" , zu folgen , in dem es heißt:

Die Beschreibung der referenzierten CA-Aussteller soll Zertifikatsbenutzern bei der Auswahl eines Zertifizierungspfads helfen, der an einem Punkt endet, dem der Zertifikatsbenutzer vertraut.

Dies hängt alles vom Format des Zertifikats ab, das Sie von Ihrer Zertifizierungsstelle, GlobalSign, Comodo, Symantec (ehemals VeriSign) erhalten haben. Wenn Sie das Zertifikat im PKCS # 7-Format erhalten haben, enthält es das Stammverzeichnis und die Zwischenprodukte. Wenn Sie das Zertifikat in x.509 erhalten haben, enthält es normalerweise nicht das Stammverzeichnis und die Zwischenprodukte. Daher müssen Sie diese Dateien von Ihrer Zertifizierungsstelle abrufen. Ich habe Zertifikate in Windows IIS 6,7 und 8 installiert. Soweit ich weiß, ist das empfohlene Format PKCS # 7. Ich habe openssl nicht verwendet. Der Root und das Intermediate werden automatisch installiert, wenn Sie den Assistenten durchlaufen.

Sie können in die Zertifikatsdatei schauen, die Sie erhalten haben, indem Sie sie in eine TXT-Datei ändern. Normalerweise wird === Begin Certificate === und ==== End Certificate === angezeigt. Wenn Sie 3 oder 4 davon sehen, werden das Stammverzeichnis und / oder die Zwischenprodukte in dieser Zertifizierungsdatei gebündelt. Wenn Sie nur eine sehen, müssen Sie den Stamm und die Zwischenstufe von der Site Ihrer Zertifizierungsstelle abrufen.