많은 관리자가 '자동 루트 인증서 업데이트 끄기'정책을 사용하는 이유는 무엇입니까?

우리 회사는 서버 기반 제품 용 Windows Installer를 배포합니다. 모범 사례에 따라 인증서를 사용하여 서명됩니다. 와 라인에서 마이크로 소프트의 조언을 우리는 사용 GlobalSign 코드 서명 인증서 마이크로 소프트의 주장은 모든 Windows Server 버전에서 기본적으로 인식된다.

자,이 모든 서버가 구성되어 잘하지 않는 한 작동 그룹 정책 : 컴퓨터 구성 / 관리 템플릿 / 시스템 / 인터넷 통신 관리 / 인터넷 통신 설정 / 자동 루트 인증서 업데이트 떨어져 돌려 으로 사용 가능 .

초기 베타 테스터 중 하나가이 구성으로 실행 중이며 설치 중에 다음 오류가 발생했습니다.

캐비닛 파일 [cab 파일의 긴 경로]에 유효하지 않은 디지털 서명이 있으므로 필요한 파일을 설치할 수 없습니다. 캐비닛 파일이 손상되었음을 나타냅니다.

우리는 아무도 시스템이 왜 이렇게 구성되었는지 설명 할 수 없었기 때문에 이것을 이상한 것으로 썼습니다. 그러나 이제 소프트웨어를 일반적인 용도로 사용할 수있게되었으므로 고객의 두 자리수 (백분율)가이 설정으로 구성되어 있고 그 이유를 아무도 모릅니다. 많은 사람들이 설정을 변경하기를 꺼려합니다.

우리는 고객을 위해 KB 기사 를 작성 했지만 실제로 고객 경험에 관심을 갖기 때문에 문제가 발생하는 것을 원하지 않습니다.

이것을 조사하면서 우리가 알아 차린 것들 :

1. 새로 Windows Server를 설치해도 신뢰할 수있는 루트 권한 목록에 Globalsign 인증서가 표시되지 않습니다.
2. 인터넷에 연결되지 않은 Windows Server를 사용하면 소프트웨어를 올바르게 설치할 수 있습니다. 설치가 끝나면 Globalsign 인증서가 있습니다 (우리가 수입하지 않음). 백그라운드에서 Windows는 처음 사용할 때 투명하게 설치 한 것으로 보입니다.

자, 여기 다시 질문이 있습니다. 루트 인증서 업데이트를 비활성화하는 것이 왜 흔한 일입니까? 업데이트를 다시 활성화 할 때 발생할 수있는 부작용은 무엇입니까? 고객에게 적절한 지침을 제공 할 수 있는지 확인하고 싶습니다.

2012 년 말 / 2013 년 초에 자동 루트 인증서 업데이트에 문제가있었습니다. 임시 수정 사항은 자동 업데이트를 비활성화하는 것이기 때문에이 문제는 부분적으로 발생합니다.

다른 원인은 (의역 할 수있는 신뢰할 수있는 루트 인증서 프로그램 및 루트 인증서 배포, 인 마이크로 소프트 ) ...

루트 인증서는 Windows에서 자동으로 업데이트됩니다. [시스템]에 새로운 루트 인증서가 있으면 Windows 인증서 체인 확인 소프트웨어는 루트 인증서에 대한 적절한 Microsoft Update 위치를 확인합니다.

지금까지는 좋지만 ...

찾으면 시스템에 다운로드합니다. 사용자에게는 경험이 완벽합니다. 보안 대화 상자 나 경고가 표시되지 않습니다. 장면 뒤에서 자동으로 다운로드됩니다.

이 경우 인증서가 루트 저장소에 자동으로 추가 된 것으로 나타날 수 있습니다. 이 모든 것은 인증서 관리 도구에서 '잘못된'CA를 제거 할 수 없기 때문에 일부 sysadmin을 긴장하게 만듭니다.

실제로 Windows가 전체 목록을 다운로드하여 원하는대로 편집 할 수 있도록하는 방법이 있지만 업데이트를 차단하는 것이 일반적입니다. 많은 수의 sysadmins는 암호화 또는 보안을 (일반적으로) 이해하지 못하므로 의심없이 (정확하거나 그렇지 않은) 지혜를 얻었으며 보안과 관련된 것을 완전히 이해하지 못하고 변경하는 것을 좋아하지 않습니다. 일부 검은 예술.

자동 루트 인증서 업데이트 구성 요소는 자동으로는 Microsoft Windows Update 웹 사이트에서 신뢰할 수있는 기관 목록을 확인하도록 설계되었습니다. 특히 로컬 컴퓨터에 저장된 신뢰할 수있는 루트 인증 기관 (CA) 목록이 있습니다. 응용 프로그램에 CA에서 발급 한 인증서가 제공되면 신뢰할 수있는 루트 CA 목록의 로컬 복사본을 확인합니다. 인증서가 목록에 없으면 자동 루트 인증서 업데이트 구성 요소가 Microsoft Windows Update 웹 사이트에 연결하여 업데이트가 있는지 확인합니다. CA가 Microsoft의 신뢰할 수있는 CA 목록에 추가 된 경우 해당 인증서는 컴퓨터의 신뢰할 수있는 인증서 저장소에 자동으로 추가됩니다.

루트 인증서 업데이트를 비활성화하는 것이 왜 흔한 일입니까?

짧은 대답은 아마도 통제에 관한 것입니다. 이 기능을 사용하여 Microsoft에 제공하지 않고 신뢰할 수있는 루트 CA를 제어하려는 경우 신뢰할 수있는 루트 CA 목록을 작성하는 것이 가장 쉽고 안전합니다. 도메인 컴퓨터에 배포하십시오. 을 누른 다음 해당 목록을 잠급니다. 조직에서 신뢰하고 싶은 루트 CA 목록의 변경은 비교적 드물기 때문에 관리자가 자동 ​​업데이트를 허용하지 않고 변경 사항을 검토하고 승인하려고합니다.

솔직히 말해서, 주어진 환경에서이 설정이 활성화 된 이유를 아무도 모르면 설정하지 않아야합니다.

업데이트를 다시 활성화 할 때 발생할 수있는 부작용은 무엇입니까?

도메인 컴퓨터는 Microsoft Windows Update 사이트에서 신뢰할 수있는 CA 목록을 확인하고 신뢰할 수있는 인증서 저장소에 새 인증서를 추가 할 수 있습니다.

이것이 클라이언트 / 고객에게 허용되지 않는 경우 GPO를 통해 인증서를 배포 할 수 있으며 현재 신뢰할 수있는 인증서에 사용하는 배포 방법에 인증서를 포함해야합니다.

또는 제품 설치를 허용하기 위해 항상이 특정 정책을 일시적으로 비활성화 할 것을 제안 할 수 있습니다.

이것을 비활성화하는 것이 일반적이라는 데 동의하지 않습니다. 이를 표현하는 더 좋은 방법은 다른 사람이 비활성화하는 이유를 묻는 것입니다. 설치 관리자가 루트 / 중간 CA 인증서를 확인하고없는 경우 설치하는 것이 더 나은 솔루션입니다.

신뢰할 수있는 루트 CA 프로그램은 필수적입니다. 응용 프로그램 톤이 광범위하게 꺼져 있으면 예상대로 작동하지 않습니다. 물론이 기능을 사용하지 않도록 설정하는 조직이있을 수 있지만 요구 사항에 따라 조직에 따라 다릅니다. 외부 종속성 (루트 인증서)이 필요한 응용 프로그램은 항상 테스트하지 않고 작동한다는 가정에 결함이 있습니다. 이 기능을 비활성화하는 응용 프로그램 및 조직 개발자 모두 외부 종속성 (루트 인증서)이 있는지 확인해야합니다. 즉, 조직에서이 기능을 사용 중지하면이 문제가 발생할 것으로 예상하거나 곧 알게 될 것입니다.

또한 신뢰할 수있는 루트 CA 프로그램 메커니즘 (루트 CA 인증서의 동적 설치)의 유용한 목적 중 하나는 잘 알려진 / 신뢰할 수있는 루트 CA 인증서를 전부 또는 대부분 설치하는 것이 실용적이지 않다는 것입니다. 너무 많은 인증서가 설치되어 있으면 Windows의 일부 구성 요소가 손상되므로 필요한 경우 필요한 인증서 만 설치하면됩니다.

http://blogs.technet.com/b/windowsserver/archive/2013/01/12/fix-available-for-root-certificate-update-issue-on-windows-server.aspx

"문제는 이것입니다. 클라이언트에게 신뢰할 수있는 인증서를 보내는 데 사용되는 SChannel 보안 패키지는 16KB로 제한됩니다. 따라서 저장소에 너무 많은 인증서가 있으면 TLS 서버가 필요한 인증서 정보를 보내지 못하게 할 수 있습니다. 클라이언트에 올바른 인증서 정보가 없으면 TLS가 필요한 서비스를 인증에 사용할 수 없습니다 .KB 931125의 루트 인증서 업데이트 패키지는 많은 수의 인증서를 저장소에 수동으로 추가하여 서버에 적용합니다. 저장소에서 16KB 제한을 초과하고 TLS 인증 실패 가능성이 있습니다. "

certif.service를 사용하지 않는 이유는 다음과 같습니다.

인터넷에 연결되지 않은 많은 시스템이 있습니다. 또한 대부분의 경우 큰 DatastoreServer의 가상 머신이기 때문에 display / kb / mouse가 부족합니다. 따라서 유지 관리 / 수정이 필요한 모든 경우에 Windows RDP를 사용합니다. RDP를 통해 컴퓨터에 연결하면 Windows는 먼저 인증서 업데이트를 온라인으로 확인합니다. 서버 / 클라이언트에 인터넷이 없으면 연결을 계속하기 전에 10-20 초 동안 중단됩니다.

매일 많은 RDP 연결을 만듭니다. certif.service를 비활성화하면 "원격 연결 보안":) +1 메시지를 보지 않아도 시간이 절약됩니다!

나는 이것이 더 오래된 실이라는 것을 안다. 그러나 대안 솔루션을 제출하고 싶습니다. 사용중인 인증 기관 이외의 인증 기관 (ROOT CA)을 사용하십시오. 즉, 서명 인증서를 훨씬 더 오래되고 승인 된 루트 CA가있는 인증서로 전환하십시오.

DIGICert는 인증서를 요청할 때 이것을 제공합니다. 이것이 DIGICert 계정 내의 기본 루트 CA가 아닐 수도 있지만 CSR을 제출할 때 사용할 수있는 옵션입니다. BTW, 나는 DIGICert에서 일하지도 않고 그들을 추천함으로써 어떤 이득도 얻지 못합니다 .. 나는 단순히이 고통을 느끼고 더 비싼 증명서를 사서 많은 돈을 쓸 수있을 때 싼 증명서로 1000 달러를 절약하는데 너무 많은 시간을 보냈습니다. 지원 문제를 다루는 시간이 줄어 듭니다. 이것은 단순히 예입니다. 같은 것을 제공하는 다른 인증서 공급자가 있습니다.

99 % 호환성 DigiCert 루트 인증서는 세계에서 가장 널리 신뢰되는 기관 인증서 중 하나입니다. 따라서 모든 일반 웹 브라우저, 모바일 장치 및 메일 클라이언트에서 자동으로 인식됩니다.

주의 사항-CSR을 만들 때 올바른 루트 CA를 선택한 경우