マイクロソフトが更新しなくなったWindows ServerのルートCA証明書はどこで入手できますか？

Microsoftは2013年1月にWSUSからルートCAの更新を削除しました。ルートCA（基本的にはMicrosoftのCAのみ）のセットが不十分なWindows Server 2012のフレッシュインストールがいくつかありました。これは、ルートCAを具体的にインストールしない限り、アプリケーションがhttps Webサービスを呼び出すたびに失敗することを意味します。

アプリケーションではロードバランサーでSSL終了を使用しているため、これらの更新プログラムを削除するようMicrosoftに促した16 KBのSChannelの制限について心配する必要はありません。標準のルートCAをインストールおよび更新するためのリソースを見つけたいのですが。誰もがそのようなリソースを知っていますか？

以下は、WS2012のデフォルトルートCAの画像です。

これは、私の会社が使用しているオッドボールGPOによるものと思われます。

ここで概説したように、GPO設定Computer Configuration \ Administrative Templates \ System \ Internet Communication Management \ Turn off Automatic Root Certificates UpdateはEnabledでした。つまり、OSはMicrosoftからルートCAを取得しません。これを無効に設定すると、問題が修正されました。

一部のWindows 2012 R2サーバーでルートCAが古くなっていることがわかりました。

これを調査した結果、マイクロソフトは「ルート証明書の更新機能を制御してインターネットとの情報の流れを防ぐ」機能を提供するパッチをリリースしたようです（KB記事）。

この更新プログラムは、Windows Updateが他の機能と共にルートCAを更新しないようにするための新しいレジストリキーを導入します。

次のレジストリキーを0に設定すると、問題が修正されます。証明書は、変更後すぐにインストールを開始します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

私は、管理者が同意なしにマシンの更新を制御したいと思うかもしれませんが、ルートCAの更新を許可しないことは、それが修正するより多くの問題を引き起こす可能性が高いエッジケースであると思います、私はまだレジストリキーがなぜわからないのかサーバーに設定されています。

これらのレジストリキーおよびWindows 2012 R2サーバーで実行できるその他の操作については、こちらで説明しています。

誰もそれを言わないなら、私はそうします。マイクロソフトは数年前に台無しになり、信頼できるルートCAに更新プログラムを公開しました。この更新プログラムは、Microsoftが更新プログラムを取得する前に、幸運にもその更新プログラムを取得できるマシンを破壊しました。今日まで、私はまだこの問題に対処しています。

セキュリティへの影響を理解しているため、これらの問題への直接リンクを提供していません。代わりに、これは関連情報を見つけるためにGoogleで検索するものです。

KB3004394の更新により、Windows 7 / Windows Server 2008 R2のルート証明書が破損する

マイクロソフトはKB 3004394を排除するために「Silver Bullet」パッチKB 3024777をリリースします

そして、私が経験したこと、そして今日まで、数え切れないほどの問題が発生しています。

KB 931125をインストールした後のSSL / TLS通信の問題

このパッケージは、330を超えるサードパーティのルート認定機関をインストールしました。現在、Schannelセキュリティパッケージがサポートする信頼できる認証局リストの最大サイズは16キロバイト（KB）です。サードパーティのルート証明機関が大量にあると、16kの制限を超えてしまい、TLS / SSL通信の問題が発生します。

もう1つの理由は、Microsoftが長年にわたって多くのルートCAを信頼していないためです。怠zyな管理者は、イントラネットサーバーに対してこの機能を無効にするだけで、根本的な問題を解決することはありません。信頼されなくなったすべてに再署名します。

とにかく、簡単な答えは、異なるコード署名証明書を使用することです。