现在,何处获取Windows Server的根CA证书,Microsoft不再更新它们?
微软在2013年1月从WSUS中删除了根CA更新 。我现在有一些新的安装了Windows Server 2012的根CA不足(基本上只是微软自己的CA)。 这意味着只要我们的应用程序调用https Web服务,它就会失败,除非我特别安装根CA.
由于我们的应用程序在负载平衡器上使用SSL终止,所以我不需要担心促使Microsoft删除这些更新的16KB SChannel限制。 我想find一个资源来安装和更新标准的根CA. 有谁知道这样的资源?
这里是WS2012中的默认根CA的图像。 
- 使用替代CA(如Microsoft证书服务)和Puppet
- replace生病的NTP服务器源并重新同步(内部时间晚了2分钟)
- MS证书服务可以成为使用OpenSSL创build的CA的下属
- 证书颁发机构根证书到期和更新
这似乎是由于我公司使用的古怪GPO。
如此处所述,GPO设置“ 计算机configuration\pipe理模板\系统\ Internet通信pipe理\closures自动根证书更新已启用” ,意味着操作系统不会从Microsoft获取根CA. 将其设置为“ 禁用”可以解决问题。
我们发现某些Windows 2012 R2服务器上的根CA已经过期。
经过调查,微软发布了一个补丁程序,提供了“ 控制更新根证书function以防止信息stream入和stream出互联网 ”的能力( 知识库文章 )。
此修补程序引入了新的registry项,用于阻止Windows Update从其他function更新根CA.
将以下registry项设置为0可以解决问题。 更改后立即开始安装证书。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate 虽然我可以看到,pipe理员可能想控制他们的机器未经他们的同意更新,我认为不允许根CA更新是一个边缘情况下,可能会导致更多的问题,它修复,我不知道为什么registry项已经在我们的服务器上设置了。
有关这些registry项的讨论以及您可以在Windows 2012 R2服务器上执行的其他操作