组策略设置“closures自动根证书更新”可防止Windows删除无法validation的证书。
如果第三方为我提供了自己的自签名根证书,除了closures自动根证书更新外,我看不到其他select,否则由于组策略规则,他们的自签名证书将被删除。
禁用此检查是否不安全?
我有其他的select吗? 我可以设置更细粒度的规则,以便Windows不会删除特定的证书,但会继续更新已安装的其他证书吗?
注意:
我正在使用一个基本的C#应用程序来部署证书,使用下面的代码:
X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer"); X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine); store.Open(OpenFlags.ReadWrite); store.Add(certificate); store.Close(); 我需要通过代码来安装证书,因为我的软件是作为多个机器场的一部分运行的,在这种情况下手动安装任何东西都是不现实的。
另外,这些机器是在一个工作组,而不是一个域。
据我所知,当运行自动根证书更新时, 通过组策略部署的证书不会被删除。
我无法从MSFT中find明确的参考。 这就是我在客户的环境中部署专用CA根证书的方式,而且我没有将它们自动删除的问题。 (当然,现在我说……叹息<)
有两个选项可以通过域成员分配自定义根证书:
当只有特定的域成员应该安装此证书(因为GPO支持定位)或者有特定的自定义属性时,应该使用此选项。
此方法用于向所有AD林成员发布根CA证书(而GPO方法只能在特定域/站点内使用)。 此方法也支持命令行(与GPO方法不同):
certutil -dspublish <path\certfilename.crt> RootCA
其中<path\certfilename.crt>是证书文件的path。 客户将在下次自动注册触发期间从AD下载此证书。