Soru Windows 2012R2, ara kök sertifikalarını otomatik olarak indirip yükler gibi görünüyor


Üretim için yeni bir Windows 2012R2 sunucusu hazırlarken, uygulamalarımızı güçlendiren web sitesi için bir (GlobalSign Domain) SSL sertifikası yüklemem gerekiyordu. Bunu bir sertifika talebi oluşturarak, GlobalSign'a göndererek ve ardından PEM formatlı verilen sertifikayı kullanarak isteği tamamlayarak yaptım.

Normalde, ilgili GlobalSign DomainSSL ara sertifikasını alıp da almak zorundayım. Ancak, ilgili ara sertifika, IIS site bağlantılarımı yapılandırdığımdan otomatik olarak yüklenmeye başlamıştı.

Ara sertifikanın aşağıdaki yerel bilgisayar sertifika deposunda bulunmadığını biliyorum:

Intermediate Certification Authorities -> Certificates

... Sertifikalar MMC ek bileşeninde.

İlk önce kontrol ettim ve sihirli bir şekilde ortaya çıktığında SSL sertifikamdan geçtim. .pfx virgin 2012R2 sunucusunda içe aktarma ve IIS bağlanma yapılandırması ve ara sertifikanın gerçekten otomatik olarak yüklendiğini doğruladı.

Windows 2008 / R2 ile bunu hatırlamıyorum. Bu yeni bir özellik mi yoksa daha önce varsayılan olarak açık olan bir şey mi?

Güncelleştirme:

HBruijncevabı, yukarıda bahsedilen ikinci "bakire" sunucumda ara sertifikanın görünümünü açıklıyor. Sertifikayı gerçekten ihracat yaptım .pfx dosya ve diğer sunucuya aktardı. İle kontrol openssl alet, kök ve ara sertifikaların varlığını ortaya çıkarır.

Ancak... Orijinal sunucuda, bekleyen bir sertifika isteğini tamamladım ve sadece "PEM" biçimlendirilmiş sertifikayı yükledim. Bu içermez Kök / ara sertifikalar openssl).


7
2018-06-03 16:31


Menşei


Başlamadan önce orada olmadığından emin misin? Birçok işletim sistemi oldukça eksiksiz bir PKI hiyerarşisine sahiptir. - kce
Kce - kesinlikle orada değildi. Bu yüzden aklımı kontrol etmek için yepyeni bir temiz sanal makine kurdum. - Kev


Cevaplar:


Bir ".pfx" dosyası PKCS # 12 arşiviiçin bir arşiv dosyası formatı   birçok kriptografi nesnesini tek bir dosya olarak saklamak. Bu yaygın   X.509 sertifikasını ve tüm üyelerini paketlemek için kullanılır.   güven zinciri.

Ara sertifikayı SSL sertifikasıyla birlikte içe aktardınız.


6
2018-06-03 16:48



Soruma ilişkin güncellemeyi görebiliyor musunuz? Sen haklısın .pfx dosya. Ancak güncellemenin ikinci bölümüne bakın. - Kev
Uzman kullanıcılar için belgesiz bir "özellik" olduğundan şüpheleniyorum - HBruijn


Bunun geçmişte de olduğunu gördüm ve buna bakmam için bazı sıkıntılarla karşılaştık. Windows 7 (SP1, Enterprise) sistemim aynı şeyi yapıyor. Ve Wireshark ve Sysinternals'ın Process Monitor ile etrafta dolaşmak aşağıdakileri ortaya koyuyor.

Sertifika depolarımdan biri, sertifika depolarımda herhangi bir zincir (b9b4c7a ...) bulunmayan COMODO imzalı bir sertifikaya sahiptir. Ancak sertifikanın, URL'yi içeren bir "Yetkili Bilgi Erişimi" özelliği vardır. http://crt.comodoca.com/COMODOHigh-AssuranceSecureServerCA.crt.

Bu sertifikayı açma (aracılığıyla mmc.exe'Sertifikalar ek bileşeni', standart Windows 'Sertifika' iletişim kutusunu göstermek için, yukarıdaki URL'nin indirilmesini tetikler ve sonuçta ortaya çıkan b9b4c7a ... sertifikası verilir. Geçerli Kullanıcı için Ara Sertifika Yetkilileri depolar.

Ve ayrıca önbelleğe alınır c:\users\<currentUser>\C:\Users\mklooste\AppData\LocalLow\Microsoft\CryptnetUrlCacheher iki Metadata ve Content Klasör.

Şimdi aynı işlemi tekrar edersem (sertifikayı geçerli kullanıcı Orta Sertifika Yetkilileri deposundan sildikten sonra) tekrar geri alır, ancak bu sefer COMODO'dan indirilmez, ancak CryptnewUrlCache.

Bu özellik hakkında Microsoft'tan hiçbir belge bulamadım. Ancak, onlar gibi görünüyor RFC 5280, bölüm 4.2.2.1, "Yetkili Bilgi Erişimi", diyor ki:

    referanslı CA düzenleyicileri açıklaması, sertifikaya yardımcı olmayı amaçlamaktadır     Bir sertifika yolunda seçim yapan kullanıcılar     sertifika kullanıcısı tarafından güvenilen nokta.


2
2017-08-21 09:23





Her şey, Sertifika Yetkilisi, GlobalSign, Comodo, Symantec (eski VeriSign) 'dan aldığınız sertifikanın formatına bağlıdır. Sertifikayı PKCS # 7 biçiminde aldıysanız, kök ve ara değerleri içerecektir. Eğer sertifikayı x.509'da aldıysanız, normalde kök ve ara değerleri içermez, bu nedenle bu dosyaları Cert Authority Site'den almanız gerekir. Windows IIS 6,7 ve 8'de sertifikalar yükledim ve bildiğimden tavsiye edilen biçim PKCS # 7. Openssl kullanmamıştım. Sihirbazdan geçtiğinizde kök ve ara otomatik olarak yüklenir.

Aldığınız sertifika dosyasına bir .txt dosyasına değiştirerek bakabilirsiniz. Normalde === Begin Certificate === ve ==== End Certificate === adresini göreceksiniz. Bunlardan 3 veya 4'ü görüyorsanız, kök ve / veya ara ürünler bu sertifika dosyasında paketlenmiştir. Sadece bir tane görürseniz, o zaman Cert Authority'nin sitesinden kök ve arayı almanız gerekir.


0
2017-08-27 17:59



Üzgünüz, önerilen biçim Windows IIS için PKCS # 7'dir, ancak Oracle gibi bir şeye yükleyecektiniz, x.509 kullanılacaktır çünkü kök ve ara ürünleri ayrı ayrı kurmanız ve belki de belirli bir sırayla kurmanız gerekir. - Hunny