Неповрежденный ПК (Windows 10 Pro, подключенный к домену AD DS)

 

Затронутые ПК (автономные версии Windows 10 Pro)

 

Что может привести к отсутствию промежуточных, но не корневых сертификатов CA?

Я проверил, что локальная политика Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off Automatic Root Certificates Update не настроена.

Я проверил, что служба Windows Cryptographic Services / CryptSvc работает и перезапуск не изменился .

Я обнаружил, что никаких соответствующих событий не регистрируется, насколько я вижу.

https://support.microsoft.com/en-gb/help/3004394/support-for-urgent-trusted-root-updates-for-windows-root-certificate-p сообщает:

Программа корневых сертификатов Windows позволяет автоматически распространять доверенные корневые сертификаты в Windows. Обычно клиентский компьютер опрашивает обновления корневого сертификата один раз в неделю.

Как вы вручную форсируете обновление?

1 ответ1

2

Сервер, обеспечивающий соединение TLS/SSL (как на веб-сервере HTTPS), должен отправить клиенту все сертификаты в цепочке. То есть сертификат конечного объекта, все подчиненные ЦС и необязательно (но не обязательно) сертификат корневого ЦС.

На ваших так называемых ПК, на которых влияют , наблюдается симптом неправильной настройки веб-сервера, который просто отправляет сертификат конечного объекта. Ваш браузер получает этот сертификат и не может связать его с корневым центром сертификации, который установлен в вашем хранилище доверия.

Ваш незатронутый ПК показывает признак компьютера Windows, который удобно хранит сертификаты подчиненного ЦС в своем хранилище сертификатов. Они обычно размещаются там, когда пользователь просматривает другой веб-сайт, который использует те же подчиненные ЦС, но администратор которого знает, что они делают :-) ПК все еще только получает сертификат конечного объекта с сервера, но, поскольку у него есть подчиненный Сертификаты CA кэшируются, он может объединять их и создавать цепочку.

Теперь в Windows есть средство для загрузки любых подчиненных ЦС из хранилища, но это будет работать только в том случае, если (а) URL-адрес этого хранилища содержится в сертификате, (б) сертификат фактически установлен в этом хранилище и (в) ) хранилище находится в сети и доступно.

Чтобы решить эту проблему, вам нужно строгое слово с администратором веб-сайта и сказать им, чтобы прочитать RFC 5246. В частности, раздел 7.4.2.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .