विंडोज सर्वर के लिए रूट CA सर्टिफिकेट अब कहां से प्राप्त करें कि Microsoft अब उन्हें अपडेट नहीं करता है?

Microsoft ने जनवरी 2013 में WSUS से रूट CA अद्यतनों को हटा दिया । मेरे पास अब Windows Server 2012 की कुछ नई स्थापनाएँ हैं जिनमें रूट CA (मूल रूप से केवल Microsoft के अपने CA) का अपर्याप्त सेट है। इसका मतलब यह है कि जब भी हमारा एप्लिकेशन https वेब सेवा को कॉल करता है, वह तब तक विफल रहेगा जब तक कि मैं विशेष रूप से रूट CA स्थापित नहीं करता।

चूंकि हमारा एप्लिकेशन लोड बैलेंसर में SSL समाप्ति का उपयोग करता है इसलिए मुझे 16KB SChannel सीमा के बारे में चिंता करने की आवश्यकता नहीं है जो Microsoft को इन अद्यतनों को हटाने के लिए प्रेरित करती है। मैं मानक रूट CA को स्थापित और अद्यतन करने के लिए एक संसाधन खोजना चाहता हूं। क्या किसी को ऐसे संसाधन का पता है?

यहां WS2012 में डिफ़ॉल्ट रूट CAs की एक छवि दी गई है।

ऐसा लगता है कि यह ऑडबॉल GPO के कारण है जो मेरी कंपनी उपयोग करती है।

जैसा कि यहां बताया गया है कि GPO सेटिंग कंप्यूटर कॉन्फ़िगरेशन \ एडमिनिस्ट्रेटिव टेम्प्लेट्स \ सिस्टम \ इंटरनेट कम्युनिकेशन मैनेजमेंट \ _ ऑफ ऑटोमेटिक रूट सर्टिफिकेट अपडेट को सक्षम किया गया था , जिसका अर्थ है कि ओएस Microsoft से रूट CA नहीं खींचेगा। इसे अक्षम करने के लिए सेट करने से समस्या ठीक हो गई।

हमने पाया है कि हमारे कुछ विंडोज़ 2012 R2 सर्वरों पर रूट CA पुराने थे।

इसकी जांच करने पर ऐसा प्रतीत होता है कि Microsoft ने " इंटरनेट पर और इंटरनेट से सूचना के प्रवाह को रोकने के लिए अपडेट रूट प्रमाणपत्र को नियंत्रित करने की सुविधा " ( KB लेख ) के लिए क्षमता प्रदान करने के लिए एक पैच जारी किया ।

यह पैच अन्य कार्यक्षमता के साथ Windows CA को रूट CA अद्यतन करने से रोकने के लिए नई रजिस्ट्री कुंजियों का परिचय देता है।

निम्न रजिस्ट्री कुंजी को 0 पर सेट करने से समस्या ठीक हो जाती है। परिवर्तन के तुरंत बाद प्रमाण पत्र स्थापित करना शुरू हो जाते हैं।

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

जब तक मैं देख सकता हूं कि Admins अपनी सहमति के बिना अपनी मशीनों को अपडेट करने से नियंत्रित करना चाहते हैं, मुझे लगता है कि रूट CAs को अपडेट करने की अनुमति नहीं है एक किनारे का मामला है जो अधिक समस्याओं का कारण बनता है जो इसे ठीक करता है और मुझे अभी तक नहीं पता है कि रजिस्ट्री कुंजी क्यों है हमारे सर्वर पर सेट किया गया है।

इन रजिस्ट्री कुंजियों और अन्य चीजों के बारे में चर्चा है जो आप यहां विंडोज 2012 आर 2 सर्वर पर कर सकते हैं

अगर कोई और नहीं कहेगा, तो मैं करूंगा। Microsoft ने वर्षों पहले खराब कर दिया था और विश्वसनीय रूट CA के लिए एक अद्यतन प्रकाशित किया था जो किसी भी मशीन को भाग्यशाली बनाता है ताकि अपडेट को Microsoft को अपडेट करने से पहले कहा जा सके। आज तक, मैं अभी भी इस समस्या से निपटता हूं।

चूँकि मैं सुरक्षा के निहितार्थ को समझता हूँ, इसलिए मैं इन मुद्दों को सीधा लिंक प्रदान नहीं कर रहा हूँ। इसके बजाय, यह वही है जो संबंधित जानकारी खोजने के लिए Google में खोज करता है:

Windows 7 / Windows Server 2008 R2 में KB3004394 रूट प्रमाणपत्र को अपडेट करें

Microsoft ने KB 3004394 को खत्म करने के लिए 'सिल्वर बुलेट' पैच KB 3024777 जारी किया

और जो मैंने अनुभव किया और आज तक वह अनगिनत मुद्दों का कारण बनता है:

KB 931125 स्थापित करने के बाद SSL / TLS संचार समस्याएँ

इस पैकेज ने 330 से अधिक तृतीय-पक्ष रूट प्रमाणीकरण प्राधिकरण स्थापित किए। वर्तमान में, विश्वसनीय सर्टिफिकेट अथॉरिटीज का अधिकतम आकार बताता है कि स्कैनेल सुरक्षा पैकेज 16 किलोबाइट (KB) का समर्थन करता है। तृतीय-पक्ष रूट प्रमाणीकरण प्राधिकारी की एक बड़ी राशि होने से आप 16k सीमा से अधिक हो जाएंगे, और आप TLS / SSL संचार समस्याओं का अनुभव करेंगे।

एक और कारण यह है कि Microsoft ने कई वर्षों में कई मूल CA को डिस्टर्ब किया है। आलसी व्यवस्थापक केवल अपने इंट्रानेट सर्वर के लिए इस सुविधा को अक्षम कर देंगे और कभी भी मूल समस्या का समाधान नहीं करेंगे - सब कुछ फिर से भरोसा नहीं करना।

वैसे भी, सरल उत्तर एक अलग कोड हस्ताक्षर प्रमाण पत्र का उपयोग करना है।