Windows-Server-2008-R2

自動從儲存中刪除受信任的根證書

  • September 7, 2020

我有一個受信任的第三方的根證書。我將它安裝到 Windows Server 2008 中的“受信任的根證書頒發機構”證書儲存中,但它在未知時間從證書儲存中消失。

這可能是什麼原因造成的?

  • 證書未過期
  • 它似乎沒有被撤銷
  • 我在事件發生時看不到任何相關的事件日誌
  • 它發生在我的開發機器、測試環境和生產伺服器上
  • 生產伺服器不在域上,只是一個工作組(託管在 Rackspace 中)
  • 查詢組策略 (gpresult /h foo.html) 不會報告我被阻止信任第 3 方根 CA

我在 ac# 命令行應用程序中使用以下程式碼來安裝證書:

X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer");
X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine);

store.Open(OpenFlags.ReadWrite);
store.Add(certificate);
store.Close();

每次我發布對我的應用程序的更改時,證書安裝程式碼都會執行。我看不出這會造成什麼傷害,但值得一提。

我安裝證書的方式可能有問題。首選的安裝方式是什麼?

在應用程序事件日誌中進行更徹底的探勘,出現了以下條目:

Log Name:      Application
Source:        Microsoft-Windows-CAPI2
Date:          24/10/2014 12:49:10
Event ID:      4108
Task Category: None
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      [redacted]
Description:
Successful auto delete of third-party root certificate:: Subject [...redacted...]

事實證明,如果 Windows 無法辨識第 3 方根 CA,它們可以被刪除:

通常,當您使用安全網站或發送和接收安全電子郵件時,會使用證書。任何人都可以頒發證書,但要進行盡可能安全的交易,證書必須由受信任的證書頒發機構 (CA) 頒發。Microsoft 在 Windows XP 和其他公司和組織的產品中列出了它認為受信任的權威機構。

http://toastergremlin.com/?p=144

引用自:https://serverfault.com/questions/639280