多くの管理者が「ルート証明書の自動更新をオフにする」ポリシーを使用しているのはなぜですか？

私の会社は、サーバーベースの製品用のWindowsインストーラーを配布しています。ベストプラクティスに従って、証明書を使用して署名されます。伴い、マイクロソフトのアドバイス、我々は使用したGlobalSignコード署名証明書のMicrosoftの主張は、すべてのWindows Serverのバージョンによって、デフォルトでは認識されています、。

サーバーは、で構成されていない限りさて、これはすべてうまく機能コンピュータの構成/管理用テンプレート/システム/インターネット通信の管理/インターネット通信の設定は、/自動ルート証明書の更新をオフにする：グループポリシーとして有効。

初期のベータテスターの1つがこの構成で実行されていたため、インストール中に次のエラーが発生しました。

キャビネットファイル[cabファイルへの長いパス]に無効なデジタル署名があるため、必要なファイルをインストールできません。これは、キャビネットファイルが破損していることを示している可能性があります。

システムがこのように構成された理由を誰も説明できなかったため、これを奇妙なものとして書き留めました。ただし、ソフトウェアが一般的に使用できるようになったため、顧客の2桁（パーセント）がこの設定で構成されているように見え、誰もその理由を知りません。多くの人は設定を変更したがりません。

お客様向けにKB記事を作成しましたが、実際にカスタマーエクスペリエンスを重視しているため、問題がまったく発生することは望ましくありません。

これを調査中に気づいたいくつかのこと：

1. Windows Serverの新規インストールでは、信頼されたルート証明機関のリストにGlobalsign証明書が表示されません。
2. インターネットに接続されていないWindows Serverでは、ソフトウェアのインストールは正常に機能します。インストールの最後に、Globalsign証明書が存在します（弊社がインポートしたものではありません）。バックグラウンドでは、Windowsは最初の使用時に透過的にインストールするように見えます。

だから、ここに再び私の質問があります。ルート証明書の更新を無効にするのはなぜ一般的なのですか？更新を再度有効にすると、潜在的な副作用は何ですか？お客様に適切なガイダンスを提供できるようにしたいと思います。

2012年後半/ 2013年初めに、ルート証明書の自動更新に問題がありました。暫定修正は自動更新を無効にすることであったため、この問題の一部は歴史的なものです。

もう1つの原因は、信頼されたルート証明書プログラムとルート証明書の配布です（Microsoftを言い換えると）。

ルート証明書はWindowsで自動的に更新されます。[システム]で新しいルート証明書が検出されると、Windows証明書チェーン検証ソフトウェアは、ルート証明書の適切なMicrosoft Updateの場所を確認します。

これまでのところ、とても良いのですが...

見つかった場合は、システムにダウンロードします。ユーザーにとって、エクスペリエンスはシームレスです。ユーザーには、セキュリティダイアログボックスや警告は表示されません。ダウンロードは、バックグラウンドで自動的に行われます。

これが発生すると、証明書がルートストアに自動的に追加されているように見えます。削除する必要がないため、証明書管理ツールから「不良」なCAを削除できないため、これによりすべてのシステム管理者が緊張します...

実際には、ウィンドウに完全なリストをダウンロードさせて、希望どおりに編集できるようにする方法がありますが、更新をブロックするのが一般的です。多くのシステム管理者は暗号化やセキュリティを（一般的に）理解していないので、受け取った知恵（正しいかそうでないか）に疑問なく従い、彼らがそれを信じていると完全に理解していないセキュリティを含むものに変更を加えることを好みませんいくつかの黒い芸術。

自動ルート証明書の更新コンポーネントが自動的にMicrosoft Windows UpdateのWebサイトで、信頼できる機関のリストをチェックするように設計されています。具体的には、ローカルコンピューターに格納されている信頼されたルート証明機関（CA）のリストがあります。CAによって発行された証明書がアプリケーションに提示されると、信頼されたルートCAリストのローカルコピーがチェックされます。証明書がリストにない場合、自動ルート証明書更新コンポーネントはMicrosoft Windows Update Webサイトに接続して、更新が利用可能かどうかを確認します。CAが信頼できるCAのMicrosoftリストに追加されている場合、その証明書はコンピューター上の信頼できる証明書ストアに自動的に追加されます。

ルート証明書の更新を無効にするのはなぜ一般的なのですか？

簡単な答えは、おそらくそれはコントロールに関することです。信頼するルートCAを制御する場合（この機能を使用してマイクロソフトに任せるのではなく）、信頼するルートCAのリストを作成してドメインコンピューターに配布するのが最も簡単で安全です、そのリストをロックします。組織が信頼するルートCAのリストを変更することは比較的まれであるため、管理者が自動更新を許可するのではなく、変更を確認して承認することをある程度理にかなっています。

率直に言って、特定の環境でこの設定が有効になっている理由が誰にもわからない場合は、設定しないでください。

更新を再度有効にすると、潜在的な副作用は何ですか？

ドメインコンピューターは、Microsoft Windows Updateサイト上の信頼されたCAのリストをチェックし、信頼できる証明書ストアに新しい証明書を追加する可能性があります。

これがクライアント/顧客に受け入れられない場合、証明書はGPOによって配布される可能性があり、信頼できる証明書に現在使用している配布方法に証明書を含める必要があります。

または、常にこの特定のポリシーを一時的に無効にして、製品のインストールを許可することをお勧めします。

これを無効にするのが一般的であることに同意しません。それを表現するより良い方法は、誰かがそれを無効にする理由を尋ねることです。また、問題に対するより良い解決策は、インストーラーがルート/中間CA証明書をチェックし、存在しない場合はインストールすることです。

信頼されたルートCAプログラムは不可欠です。広範囲にオフにした場合、TONのアプリケーションは期待どおりに機能しません。確かに、この機能を無効にする組織もあるかもしれませんが、要件に基づいて、それは実際に組織次第です。外部の依存関係（ルート証明書）を必要とするアプリケーションは、テストせずに常に機能するという欠陥のある仮定です。この機能を無効にするアプリケーションと組織の両方の開発者は、外部の依存関係（ルート証明書）が存在することを確認する責任を負います。つまり、組織がこれを無効にした場合、彼らはこの問題を予期していることを知っています（またはすぐにそれについて学習します）。

また、信頼されたルートCAプログラムメカニズム（ルートCA証明書の動的インストール）の有用な目的の1つは、既知または信頼されたルートCA証明書のすべてまたはほとんどをインストールすることは実用的ではないことです。Windowsの一部のコンポーネントは、インストールされている証明書が多すぎると破損するため、実行可能な唯一の方法は、必要なときに必要な証明書のみをインストールすることです。

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

「問題はこれです。信頼された証明書をクライアントに送信するために使用されるSChannelセキュリティパッケージには16KBの制限があります。したがって、ストアに証明書が多すぎると、TLSサーバーが必要な証明書情報を送信できなくなります。送信を開始しますが、クライアントが適切な証明書情報を持っていない場合、認証にTLSを必要とするサービスを使用できませんKB 931125で使用可能なルート証明書更新パッケージは、大量の証明書をストアに手動で追加し、サーバーに適用しますストアで16KBの制限を超えており、TLS認証に失敗する可能性があります。

certif.serviceを無効にする理由は次のとおりです。

インターネットに接続していないシステムがたくさんあります。また、ほとんどの場合、大きなDatastoreServer上の仮想マシンであるため、display / kb / mouseがありません。したがって、すべての場合で、メンテナンス/変更が必要な場合、Windows RDPを使用してそれらにアクセスします。RDP経由でマシンに接続する場合、Windowsは最初にオンラインで証明書の更新を確認します。サーバー/クライアントにインターネットがない場合、接続を続行する前に10〜20秒間ハングします。

私は毎日多くのRDP接続を確立しています。「リモート接続を確保しています」というメッセージをじっと見ないで時間を節約します:) certif.serviceを無効にすることで+1を行います

これは古いスレッドです。ただし、代替ソリューションを提出したいと思います。使用している認証局以外の認証局（ROOT CA）を使用してください。つまり、署名証明書を、はるかに古い承認済みルートCAを持つ証明書に切り替えます。

DIGICertは、証明書を要求するときにこれを提供します。これはDIGICertアカウント内のデフォルトのルートCAではない場合がありますが、CSRを送信するときに使用できるオプションです。ところで、私はDIGICertで働いたり、推薦することで利益を得たりしません。サポートの問題に対処する時間が短縮されます。これは単なる例です。同じことを提供する他の証明書プロバイダーがあります。

99％互換性DigiCertルート証明書は、世界で最も広く信頼されている機関証明書の1つです。そのため、これらはすべての一般的なWebブラウザー、モバイルデバイス、およびメールクライアントによって自動的に認識されます。

警告-CSRを作成するときに正しいルートCAを選択した場合。