Microsoft가 더 이상 업데이트하지 않기 때문에 Windows Server 용 루트 CA 인증서를 어디서 구할 수 있습니까?

Microsoft는 2013 년 1 월 WSUS 에서 루트 CA 업데이트를 제거했습니다 . 이제 루트 CA (기본적으로 Microsoft 자체의 CA)가 부족한 Windows Server 2012를 새로 설치했습니다. 이것은 우리의 응용 프로그램이 https 웹 서비스를 호출 할 때마다 루트 CA를 특별히 설치하지 않으면 실패한다는 것을 의미합니다.

우리의 응용 프로그램은로드 밸런서에서 SSL 종료를 사용하기 때문에 Microsoft가 이러한 업데이트를 제거하도록 유도 한 16KB SChannel 제한에 대해 걱정할 필요가 없습니다. 표준 루트 CA를 설치하고 업데이트 할 리소스를 찾고 싶습니다. 누구든지 그러한 자원을 알고 있습니까?

다음은 WS2012의 기본 루트 CA 이미지입니다.

이것은 내 회사에서 사용하는 괴짜 GPO 때문인 것으로 보입니다.

여기 에 설명 된대로 GPO 설정 컴퓨터 구성 \ 관리 템플릿 \ 시스템 \ 인터넷 통신 관리 \ 자동 루트 인증서 업데이트 끄기 가 활성화되었습니다 . 즉, OS가 Microsoft에서 루트 CA를 가져 오지 않습니다. 이것을 Disabled로 설정 하면 문제가 해결되었습니다.

일부 Windows 2012 R2 서버에서 루트 CA가 오래되었다는 것을 알았습니다.

이 문제를 조사한 결과, Microsoft는 " 인터넷으로 정보가 유출되는 것을 방지하기 위해 업데이트 루트 인증서 기능 제어 "기능을 제공하는 패치를 발표 한 것으로 보입니다 ( KB article ).

이 패치는 Windows Update가 다른 기능과 함께 루트 CA를 업데이트하지 못하게하는 새로운 레지스트리 키를 소개합니다.

다음 레지스트리 키를 0으로 설정하면 문제가 해결됩니다. 인증서는 변경 직후에 설치를 시작합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

관리자가 동의없이 컴퓨터가 업데이트되지 않도록 제어 할 수 있다는 것을 알 수 있지만 루트 CA의 업데이트를 허용하지 않는 것이 더 큰 문제를 야기 할 수있는 최첨단 사례라고 생각합니다. 레지스트리 키가 아직 알려진 이유는 없습니다. 서버에 설정되었습니다.

이 레지스트리 키와 Windows 2012 R2 서버 에서 수행 할 수있는 다른 작업에 대한 설명이 있습니다.

다른 사람이 말하지 않으면 나는 할 것이다. Microsoft는 몇 년 전에 문제를 일으켜 신뢰할 수있는 루트 CA에 대한 업데이트를 게시했습니다.이 루트 업데이트는 Microsoft가 업데이트를 가져 오기 전에 해당 업데이트를받을 정도로 운이 좋은 컴퓨터를 손상 시켰습니다. 오늘날까지도 나는 여전히이 문제를 다루고 있습니다.

보안 관련 사항을 이해했기 때문에 이러한 문제에 대한 직접적인 링크는 제공하지 않습니다. 대신, 이것은 구글에서 관련 정보를 찾기 위해 검색하는 것입니다.

KB3004394 업데이트로 Windows 7 / Windows Server 2008 R2에서 루트 인증서가 중단됨

Microsoft, KB 3004394 제거를위한 '실버 불릿'패치 KB 3024777 출시

그리고 내가 경험하고 오늘날까지 수많은 문제가 발생합니다.

KB 931125를 설치 한 후 SSL / TLS 통신 문제

이 패키지는 330 개 이상의 타사 루트 인증 기관을 설치했습니다. 현재 Schannel 보안 패키지가 지원하는 신뢰할 수있는 인증 기관 목록의 최대 크기는 16KB입니다. 많은 양의 타사 루트 인증 기관을 보유하면 16k 제한을 초과하게되므로 TLS / SSL 통신 문제가 발생합니다.

또 다른 이유는 Microsoft가 수년 동안 많은 루트 CA를 불신했기 때문입니다. 게으른 관리자는 인트라넷 서버에서이 기능을 비활성화하고 루트 문제를 해결하지 않으므로 더 이상 신뢰할 수없는 모든 것을 다시 서명합니다.

어쨌든 간단한 대답은 다른 코드 서명 인증서를 사용하는 것입니다.