私の会社では、サーバーベースの製品のWindowsインストーラを配布しています。ベストプラクティスに従って、証明書を使用して署名されます。 Microsoftのアドバイス に沿って GlobalSignコード署名証明書 を使用します。これは、MicrosoftがすべてのWindows Serverバージョンでデフォルトで認識されていると主張しています。
これで、サーバーがグループポリシーで構成されていない限り、これはすべてうまく機能します:コンピュータの構成/管理用テンプレート/システム/インターネット通信の管理/インターネット通信の設定/自動ルート証明書更新をオフにする asEnabled。
初期のベータテスターの1人がこの構成で実行していたため、インストール中に次のエラーが発生することがわかりました
キャビネットファイル[cabファイルへの長いパス]に無効なデジタル署名があるため、必要なファイルをインストールできません。キャビネットファイルが破損している可能性があります。
システムがこのように構成された理由を誰も説明できなかったので、これを奇妙なことに書き留めました。しかし、ソフトウェアが一般的に使用できるようになったため、お客様の2桁(パーセンテージ)がこの設定で構成されているようで、誰もその理由を知りません。多くは、設定を変更することに消極的です。
私たちはお客様のために KB記事 を作成しましたが、実際にはカスタマーエクスペリエンスに関心があるため、問題が発生することは望んでいません。
これを調査しているときに気づいたいくつかのこと:
だから、再び私の質問です。ルート証明書の更新を無効にすることはなぜそれほど一般的ですか?更新を再度有効にした場合の潜在的な副作用は何ですか?お客様に適切なガイダンスを提供できるようにしたいと思います。
2012年後半/ 2013年初めに、ルート証明書の自動更新に関する問題が発生しました。暫定的な修正は自動更新を無効にすることでしたので、この問題の一部は歴史的なものです。
もう1つの原因は、信頼されたルート証明書プログラムとルート証明書の配布です。これは(言い換えれば Microsoft )...
ルート証明書はWindowsで自動的に更新されます。 [システム]が新しいルート証明書を検出すると、Windows証明書チェーン検証ソフトウェアは、ルート証明書の適切なMicrosoft Updateの場所を確認します。
これまでのところ、とても良いですが...
見つかった場合は、システムにダウンロードします。ユーザーにとって、エクスペリエンスはシームレスです。ユーザーにはセキュリティダイアログボックスや警告は表示されません。ダウンロードはバックグラウンドで自動的に行われます。
これが発生すると、証明書が自動的にルートストアに追加されているように見えます。証明書管理ツールから「悪い」CAを削除できないため、システム管理者の中には緊張しているものがあります...
実際に、ウィンドウにリスト全体をダウンロードさせて、必要に応じて編集できるようにする方法はいくつかありますが、通常は更新をブロックするだけです。多くのシステム管理者は暗号化やセキュリティを(一般的に)理解していないため、受け取られた知恵(正しいかどうかにかかわらず)に疑いもなく従い、セキュリティを含むものに完全に理解していないと信じ込んで変更を加えることを好まないいくつかの黒い芸術。
自動ルート証明書更新コンポーネント は、Microsoft Windows Update Webサイトの信頼できる機関のリストを自動的にチェックするように設計されています。具体的には、ローカルコンピューターに格納されている信頼されたルート証明機関(CA)のリストがあります。アプリケーションがCAによって発行された証明書を提示されると、アプリケーションは信頼されたルートCAリストのローカルコピーをチェックします。証明書がリストにない場合、自動ルート証明書更新コンポーネントはMicrosoft Windows Update Webサイトにアクセスして、更新が利用可能かどうかを確認します。 CAが信頼できるCAのMicrosoftリストに追加されている場合、その証明書はコンピューター上の信頼できる証明書ストアに自動的に追加されます。
ルート証明書の更新を無効にすることはなぜそれほど一般的ですか?
簡単に言えば、それは制御に関することです。信頼できるルートCAを制御したい場合(この機能を使用してマイクロソフトに任せるのではなく)、信頼したいルートCAのリストを作成してドメインコンピューターに配布するのが最も簡単で安全です。 、そのリストをロックします。組織が信頼するルートCAのリストに対する変更は比較的まれであるため、管理者が自動更新を許可するのではなく、変更を確認して承認することは、ある程度の意味があります。
率直に言って、特定の環境でこの設定が有効になっている理由が誰にもわからない場合は、設定しないでください。
更新を再度有効にした場合の潜在的な副作用は何ですか?
ドメインコンピュータは、Microsoft Windows Updateサイトの信頼されたCAのリストをチェックし、新しい証明書を信頼された証明書ストアに追加できる可能性があります。
これがクライアント/顧客に受け入れられない場合、証明書はGPOによって配布される可能性があり、信頼できる証明書に現在使用している配布方法に証明書を含める必要があります。
または、この特定のポリシーを一時的に無効にして、製品のインストールを許可することを常に提案できます。
これを無効にするのが一般的であることには同意しません。それをフレーズするより良い方法は、誰かがそれを無効にする理由を尋ねることです。そして、問題のより良い解決策は、インストーラーがルート/中間CA証明書をチェックし、存在しない場合はそれらをインストールすることです。
Trusted Root CAプログラムは不可欠です。大量のアプリケーションをオフにすると、アプリケーションのTONが期待どおりに機能しなくなります。もちろん、この機能を無効にする組織もあるかもしれませんが、要件に基づいて、それは実際には組織次第です。外部依存関係(ルート証明書)を必要とするアプリケーションは常にテストせずに動作するというのは誤りのある仮定です。この機能を無効にするアプリケーションの開発者と組織の両方が、外部依存関係(ルート証明書)が存在することを確認する責任があります。つまり、組織がこれを無効にした場合、彼らはこの問題を予期する(またはすぐにそれについて学ぶ)ことを知っています。
また、信頼されたルートCAプログラムメカニズム(ルートCA証明書の動的インストール)の便利な目的の1つは、よく知られた/信頼されたルートCA証明書のすべてまたはほとんどをインストールすることが実際的ではないことです。 Windowsの一部のコンポーネントは、インストールされている証明書が多すぎると壊れるので、必要なときに必要な証明書だけをインストールするのが唯一の現実的な方法です。
「問題はこれです。信頼された証明書をクライアントに送信するために使用されるSChannelセキュリティパッケージの制限は16KBです。したがって、ストアに証明書が多すぎると、TLSサーバーが必要な証明書情報を送信できなくなる可能性があります。送信を開始しますが、いつ停止する必要がありますかクライアントは16KBに達します。クライアントに適切な証明書情報がない場合、クライアントは認証にTLSを必要とするサービスを使用できません。KB931125で入手可能なルート証明書更新パッケージは、多数の証明書を手動でストアに追加し、サーバーに適用しますストア内で16KBの制限を超え、TLS認証が失敗する可能性があります。」
Certif.serviceを無効にする理由は次のとおりです。
インターネットに接続していないシステムがたくさんあります。また、ほとんどの場合、大きなDatastoreServer上の仮想マシンであるため、display/kb/mouseがありません。したがって、すべてのケースでメンテナンス/変更が必要な場合は、Windows RDPを使用してアクセスします。 RDP経由でマシンに接続する場合、Windowsはまず証明書の更新をオンラインで確認します。サーバー/クライアントにインターネットがない場合、接続を続行する前に10〜20秒間ハングします。
私は毎日たくさんのRDP接続をしています。 「リモート接続を保護しています」というメッセージを見ないことで時間を節約できます:) certif.serviceを無効にするための+1!
私はこれが古いスレッドであることを知っています。ただし、代替ソリューションを提出したいと思います。使用しているもの以外の認証局(ROOT CA)を使用してください。つまり、署名証明書を、はるかに古く、承認されたルートCAを持つ証明書に切り替えます。
DIGICertは、証明書を要求するときにこれを提供します。これはDIGICertアカウント内のデフォルトのルートCAではない可能性がありますが、CSRを送信するときに使用できるオプションです。ちなみに、私はDIGICertで働いていませんし、推薦しても何の利益もありません。私はこの痛みを感じて、より高価な証明書を購入して多くを費やすことができたときに、安い証明書で1000米ドルを節約するのに何時間も費やしました。サポート問題に対処する時間が短縮されます。これは単なる例です。同じことを提供する他の証明書プロバイダーがあります。
99%の互換性DigiCertルート証明書は、世界で最も広く信頼されている認証局証明書の1つです。そのため、それらはすべての一般的なWebブラウザー、モバイルデバイス、およびメールクライアントによって自動的に認識されます。
警告-CSRを作成するときに正しいルートCAを選択した場合。