Windows

防止 Windows 刪除我們的根 CA

  • August 8, 2013

我正在嘗試使用具有帶有客戶端證書身份驗證的網站的 IIS 伺服器創建 Windows 伺服器。客戶端證書由我們自己的根 CA 簽名。因此,我們必須將該 CA 導入伺服器上的 Trusted Root Authorities。我可以成功導入證書,有時對伺服器的第一個請求會成功。不幸的是,Windows 很快刪除了 CA 證書,之後對伺服器的請求開始失敗並出現 403 錯誤。我在事件查看器中發現了以下內容:

成功自動刪除第三方根證書:: Subject: Sha1 thumbprint: <“The thumbprint of our cert”>。

如何讓 Windows 停止這樣做?伺服器在 Amazon EC2 上執行,我們希望避免使用自定義 AMI。因此,我需要能夠使用腳本(最好是 PowerShell)來禁用它。

您應該能夠通過使用此處找到的 LOCALGPO 命令或直接設置系統資料庫值通過腳本設置相關的組策略設置(關閉自動根證書更新) :

Key:   HKLM\Software\Policies\Microsoft\SystemCertificates\AuthRoot\
Name:  DisableRootAutoUpdate
Value: 1 
Type:  REG_DWORD

引用自:https://serverfault.com/questions/526736