多くの管理者が「ルート証明書の自動更新を無効にする」ポリシーを使用しているのはなぜですか？

自動ルート証明書更新コンポーネント は、Microsoft Windows Update Webサイトの信頼できる機関のリストを自動的にチェックするように設計されています。具体的には、ローカルコンピューターに格納されている信頼されたルート証明機関（CA）のリストがあります。アプリケーションがCAによって発行された証明書を提示されると、アプリケーションは信頼されたルートCAリストのローカルコピーをチェックします。証明書がリストにない場合、自動ルート証明書更新コンポーネントはMicrosoft Windows Update Webサイトにアクセスして、更新が利用可能かどうかを確認します。 CAが信頼できるCAのMicrosoftリストに追加されている場合、その証明書はコンピューター上の信頼できる証明書ストアに自動的に追加されます。

ルート証明書の更新を無効にすることはなぜそれほど一般的ですか？

簡単に言えば、それは制御に関することです。信頼できるルートCAを制御したい場合（この機能を使用してマイクロソフトに任せるのではなく）、信頼したいルートCAのリストを作成してドメインコンピューターに配布するのが最も簡単で安全です。 、そのリストをロックします。組織が信頼するルートCAのリストに対する変更は比較的まれであるため、管理者が自動更新を許可するのではなく、変更を確認して承認することは、ある程度の意味があります。

率直に言って、特定の環境でこの設定が有効になっている理由が誰にもわからない場合は、設定しないでください。

更新を再度有効にした場合の潜在的な副作用は何ですか？

ドメインコンピュータは、Microsoft Windows Updateサイトの信頼されたCAのリストをチェックし、新しい証明書を信頼された証明書ストアに追加できる可能性があります。

これがクライアント/顧客に受け入れられない場合、証明書はGPOによって配布される可能性があり、信頼できる証明書に現在使用している配布方法に証明書を含める必要があります。

または、この特定のポリシーを一時的に無効にして、製品のインストールを許可することを常に提案できます。

これを無効にするのが一般的であることには同意しません。それをフレーズするより良い方法は、誰かがそれを無効にする理由を尋ねることです。そして、問題のより良い解決策は、インストーラーがルート/中間CA証明書をチェックし、存在しない場合はそれらをインストールすることです。

Trusted Root CAプログラムは不可欠です。大量のアプリケーションをオフにすると、アプリケーションのTONが期待どおりに機能しなくなります。もちろん、この機能を無効にする組織もあるかもしれませんが、要件に基づいて、それは実際には組織次第です。外部依存関係（ルート証明書）を必要とするアプリケーションは常にテストせずに動作するというのは誤りのある仮定です。この機能を無効にするアプリケーションの開発者と組織の両方が、外部依存関係（ルート証明書）が存在することを確認する責任があります。つまり、組織がこれを無効にした場合、彼らはこの問題を予期する（またはすぐにそれについて学ぶ）ことを知っています。

また、信頼されたルートCAプログラムメカニズム（ルートCA証明書の動的インストール）の便利な目的の1つは、よく知られた/信頼されたルートCA証明書のすべてまたはほとんどをインストールすることが実際的ではないことです。 Windowsの一部のコンポーネントは、インストールされている証明書が多すぎると壊れるので、必要なときに必要な証明書だけをインストールするのが唯一の現実的な方法です。

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

「問題はこれです。信頼された証明書をクライアントに送信するために使用されるSChannelセキュリティパッケージの制限は16KBです。したがって、ストアに証明書が多すぎると、TLSサーバーが必要な証明書情報を送信できなくなる可能性があります。送信を開始しますが、いつ停止する必要がありますかクライアントは16KBに達します。クライアントに適切な証明書情報がない場合、クライアントは認証にTLSを必要とするサービスを使用できません。KB931125で入手可能なルート証明書更新パッケージは、多数の証明書を手動でストアに追加し、サーバーに適用しますストア内で16KBの制限を超え、TLS認証が失敗する可能性があります。」

Certif.serviceを無効にする理由は次のとおりです。

インターネットに接続していないシステムがたくさんあります。また、ほとんどの場合、大きなDatastoreServer上の仮想マシンであるため、display/kb/mouseがありません。したがって、すべてのケースでメンテナンス/変更が必要な場合は、Windows RDPを使用してアクセスします。 RDP経由でマシンに接続する場合、Windowsはまず証明書の更新をオンラインで確認します。サーバー/クライアントにインターネットがない場合、接続を続行する前に10〜20秒間ハングします。

私は毎日たくさんのRDP接続をしています。 「リモート接続を保護しています」というメッセージを見ないことで時間を節約できます:) certif.serviceを無効にするための+1！

私はこれが古いスレッドであることを知っています。ただし、代替ソリューションを提出したいと思います。使用しているもの以外の認証局（ROOT CA）を使用してください。つまり、署名証明書を、はるかに古く、承認されたルートCAを持つ証明書に切り替えます。

DIGICertは、証明書を要求するときにこれを提供します。これはDIGICertアカウント内のデフォルトのルートCAではない可能性がありますが、CSRを送信するときに使用できるオプションです。ちなみに、私はDIGICertで働いていませんし、推薦しても何の利益もありません。私はこの痛みを感じて、より高価な証明書を購入して多くを費やすことができたときに、安い証明書で1000米ドルを節約するのに何時間も費やしました。サポート問題に対処する時間が短縮されます。これは単なる例です。同じことを提供する他の証明書プロバイダーがあります。

99％の互換性DigiCertルート証明書は、世界で最も広く信頼されている認証局証明書の1つです。そのため、それらはすべての一般的なWebブラウザー、モバイルデバイス、およびメールクライアントによって自動的に認識されます。

警告-CSRを作成するときに正しいルートCAを選択した場合。