web-dev-qa-db-ja.com

信頼されたルート認証局がローカルマシンの証明書ストアに自動インストールされる原因は何ですか?

私は相互HTTPSを使用してテストサービスの問題を診断することで一日を過ごしています。サービスは、Windows Server 2008Enterpriseエディションを実行しているテストサーバー上のIIS 7でホストされます。

数週間前に突然、すべてのテストサービスが機能しなくなり、これらのサービスへのリクエストは403.7「クライアント証明書が必要」の問題で終了しました。何度も検索した結果、 この記事 Windows Server2003の同様の問題について説明していることがわかりました。

つまり、この問題は、ローカルマシンの証明書ストアにインストールされている信頼できるルートCAが多すぎることが原因です。相互HTTPSハンドシェイク中のサーバーは、信頼できるCAの「リスト」をクライアントに送信し、クライアントはこのリストに基づいて証明書を選択できます(IISのサイトがCTLで構成されているが、それが 別の質問 )問題は、リストに含めることができるのは16KBしかないため、CAがさらにある場合、それらは単にクライアントに送信されないことです。使用されたクライアント証明書がそのような切り捨てられたCAのいずれかによって発行された場合、送信されません。サーバーに。

その後、ローカルマシンの信頼されたルート証明書ストアを確認したところ、200を超える信頼されたルートCAがインストールされていることがわかりました。さらに悪いことに、私たちはそれらをインストールしませんでした!これらのCAがWindowsUpdateを介して自動的にインストールされるという情報をどこかで見つけました(申し訳ありませんが、再度見つけることはできません)。

質問:Windows Updateをオフにせずに、コンピューターへのCA証明書のインストールをオフにするにはどうすればよいですか?

4
Ladislav Mrnka

正直なところ、すべてWindowsUpdateによってインストールされたとは思いません。もしそうなら、おそらくもっと多くの人がこの問題を抱えているでしょう?

また、GPOやドメインメンバーシップによってインストールすることもできます。これが私が最初に検討する場所です。

しかし、見る前に、HTTPSの使用を許可したいと思います...(おそらく、そこに悪意のあるCAの信頼があると疑われるか知らない限り)、これは不要なものを削除することで最も簡単に実行できます。 Certificate Manager Tool に加えて、GPOの起動またはシャットダウンスクリプト部分でのスクリプトによる削除。

それらは悪意を持ってインストールされる可能性もあります。その場合、あなたはひどく危険にさらされているので、信頼できるCAとして悪意のある証明書ですべてのマシンをワイプし始めることをお勧めします。

1
HopelessN00b