Где получить сертификаты корневого ЦС для Windows Server, когда Microsoft больше не обновляет их?

Microsoft удалила обновления корневого ЦС из WSUS в январе 2013 года. Теперь у меня есть несколько новых версий Windows Server 2012, в которых недостаточно корневых ЦС (в основном только собственные ЦС Microsoft). Это означает, что всякий раз, когда наше приложение вызывает веб-службу https, оно завершается сбоем, если я специально не установлю корневой ЦС.

Поскольку наше приложение использует SSL-прерывание на балансировщике нагрузки, мне не нужно беспокоиться об ограничении SChannel в 16 КБ, которое побудило Microsoft удалить эти обновления. Я хотел бы найти ресурс для установки и обновления стандартных корневых ЦС. Кто-нибудь знает о таком ресурсе?

Вот изображение корневых CA по умолчанию в WS2012.

Похоже, это связано со странным GPO, который использует моя компания.

Как указано здесь, параметр GPO « Конфигурация компьютера \ Административные шаблоны \ Система \ Управление связью через Интернет \ Отключить автоматическое обновление корневых сертификатов» был включен , что означает, что ОС не будет получать корневые ЦС от Microsoft. Установка этого параметра на Отключено исправила проблему.

Мы обнаружили, что корневые центры сертификации были устаревшими на некоторых наших серверах Windows 2012 R2.

Изучив это, похоже, что Microsoft выпустила патч, обеспечивающий возможность « управления функцией обновления корневых сертификатов для предотвращения потока информации в Интернет и из Интернета » ( статья KB ).

Этот патч вводит новые разделы реестра для остановки Центра обновления Windows от обновления корневых центров сертификации наряду с другими функциями.

Установка следующего ключа реестра в 0 устраняет проблему. Сертификаты начинают установку сразу после изменения.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

Хотя я вижу, что администраторы могут хотеть контролировать свои машины от обновления без их согласия, я думаю, что запрет на обновление корневых ЦС - это крайний случай, который может вызвать больше проблем, которые он исправляет, и я пока не знаю, почему ключ реестра был установлен на наших серверах.

Здесь обсуждаются эти ключи реестра и другие вещи, которые вы можете сделать на серверах Windows 2012 R2 здесь

Если никто не скажет это, я скажу. Microsoft облажалась несколько лет назад и опубликовала обновление доверенных корневых центров сертификации, которое сломало любую машину, которой повезло получить указанное обновление до того, как Microsoft выпустит обновление. По сей день я до сих пор занимаюсь этой проблемой.

Поскольку я понимаю последствия для безопасности, я не даю прямых ссылок на эти вопросы. Вместо этого это то, что нужно искать в Google, чтобы найти соответствующую информацию:

Обновление KB3004394 ломает корневой сертификат в Windows 7 / Windows Server 2008 R2

Microsoft выпускает патч «Серебряная пуля» KB 3024777 для устранения KB 3004394

И тот, который я испытал и по сей день, вызывает бесчисленные проблемы:

Проблемы связи SSL / TLS после установки KB 931125

Этот пакет установил более 330 сторонних корневых центров сертификации. В настоящее время максимальный размер списка доверенных центров сертификации, который поддерживает пакет безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых центров сертификации превысит предел в 16 КБ, и у вас возникнут проблемы со связью TLS / SSL.

Другая причина в том, что Microsoft не доверяла многим корневым центрам сертификации на протяжении многих лет. Ленивые администраторы просто отключат эту функцию для своих серверов Интранет и никогда не решат проблему с корнем - переподписав все, что больше не является доверенным.

В любом случае, простой ответ - использовать другой сертификат подписи кода.