Vertrauenswürdiges Stammzertifikat wird automatisch aus dem Speicher entfernt

8

Ich habe das Stammzertifikat eines vertrauenswürdigen Drittanbieters. Ich installiere dies im Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstellen" in Windows Server 2008, aber es verschwindet zu unbekannten Zeiten aus dem Zertifikatspeicher.

Was könnte das verursachen?

  • Das Zertifikat ist nicht abgelaufen
  • Es scheint nicht widerrufen worden zu sein
  • Ich kann keine relevanten Ereignisprotokolle zu den Zeiten von Vorfällen sehen
  • Dies geschieht auf meinem Entwicklungscomputer, in Testumgebungen und auf Produktionsservern
  • Die Produktionsserver befinden sich nicht in einer Domäne, sondern nur in einer Arbeitsgruppe (in Rackspace gehostet).
  • Das Abfragen von Gruppenrichtlinien (gpresult / h foo.html) meldet nicht, dass ich nicht in der Lage bin, Stammzertifizierungsstellen von Drittanbietern zu vertrauen

Ich verwende den folgenden Code in der Befehlszeilen-App ac #, um das Zertifikat zu installieren:

X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer");
X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine);

store.Open(OpenFlags.ReadWrite);
store.Add(certificate);
store.Close();

Der Zertifikatinstallationscode wird jedes Mal ausgeführt, wenn ich eine Änderung an meiner Anwendung veröffentliche. Ich sehe nicht ein, wie dies Schaden anrichten könnte, aber es ist erwähnenswert.

Möglicherweise stimmt etwas nicht mit der Art und Weise, wie ich das Zertifikat installiere. Was ist die bevorzugte Art der Installation?

Dan
quelle
Machen Sie eine gpresult /h foo.htmlund sehen Sie nach, ob Gruppenrichtlinien angewendet werden, die etwas in der Art von "Verhindern, dass Benutzer Root-Zertifizierungsstellen von Drittanbietern vertrauen" oder etwas in dieser Richtung sagen?
Ryan Ries

Antworten:

9

Bei einer gründlicheren Suche im Anwendungsereignisprotokoll wurde dieser Eintrag ausgeführt:

Log Name:      Application
Source:        Microsoft-Windows-CAPI2
Date:          24/10/2014 12:49:10
Event ID:      4108
Task Category: None
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      [redacted]
Description:
Successful auto delete of third-party root certificate:: Subject [...redacted...]

Es stellt sich heraus, dass Stammzertifizierungsstellen von Drittanbietern von Windows gelöscht werden können, wenn sie nicht erkannt werden:

In der Regel wird ein Zertifikat verwendet, wenn Sie eine sichere Website verwenden oder wenn Sie sichere E-Mails senden und empfangen. Jeder kann Zertifikate ausstellen. Um jedoch Transaktionen zu gewährleisten, die so sicher wie möglich sind, müssen Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt werden. Microsoft hat eine Liste in Windows XP und anderen Produkten von Unternehmen und Organisationen aufgenommen, die es als vertrauenswürdig erachtet.

http://toastergremlin.com/?p=144

Dan
quelle