archivio certificati predefinito di Windows per i certificati radice intermedio vs trusted - il mio certificato CA autofirmato di root passa a "intermedio" per impostazione predefinita?

2

È possibile creare un certificato CA radice autofirmato che Windows importerà in Trusted Root per impostazione predefinita invece di Intemediate certificate store? Ovviamente, non lo farà senza la grande finestra nag gigante che chiede se ne sei veramente sicuro, ma sarebbe bello non dover fare il passo in più per specificare quale archivio di certificati debba essere inserito.

Attualmente, sia la nostra CA radice che i certificati intermedi per impostazione predefinita (se fai semplicemente clic con il tasto destro del mouse > install) entrano nell'archivio certificati intermedio. Se dico di installarlo nell'archivio di root attendibile per il certificato radice, allora tutto funziona come previsto (catena di fiducia, ecc.). Tuttavia, idealmente non dovremmo impostarlo e invece supponiamo che dovrebbe andare lì (mostrerebbe comunque la finestra di dialogo "sei sicuro"). È possibile?

Abbiamo costruito (e stiamo ancora perfezionando) una CA usando phpseclib. Ad esempio, ecco una CA radice che ho generato (con dettagli disinfettati):

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Stiamo facendo qualcosa di sbagliato, impostando o non impostando un'estensione? Forse deve essere in pfx o in un altro formato invece di PEM? O Windows sarà sempre predefinito come intermedio e nulla da fare al riguardo?

    
posta jvaughn 13.07.2013 - 02:03
fonte

2 risposte

3

Windows applica alcune euristiche non documentate per sapere dove dovrebbe andare il certificato. Apparentemente, queste euristiche sono cambiate: quando importo il tuo certificato su un sistema Windows XP, esso si imposta automaticamente sull'archivio principale (con il big warning), ma quando provo un sistema Windows 2008R2, va all'archivio intermedio di CA.

Un modo per risolvere il problema è che le CA radice sono oggetti molto sensibili e non devono essere importate "automaticamente". Una CA radice canaglia può essere usata per infliggere danni considerevoli alla vittima e non sono sicuro che un singolo popup sia veramente sufficiente come misura di protezione. Il popup non è nemmeno rosso e dall'aspetto spaventoso; è più simile a un muro di testo noioso:

Ècomeaccordidilicenza:chilileggeveramente,onestamente?

Inquestecondizioni,nonpossodavveroincolpareMicrosoftperdirigereleimportazionidicertificatididefaultinunarchivioCAintermedio.

Oraperlatuadomandaspecifica,sedovessiazzardareun'ipotesisuciòcherendealcuneversionidiWindowsconsideranoiltuocertificatocome"probabilmente non una CA radice", indicherei la breve durata. I certificati CA root di solito durano più di un anno. Suggerisco di provare a rendere quel certificato valido per 20 anni circa. Questo può o non può risolvere il tuo problema, ma se lo fa, tanto meglio.

Nota: un certificato che è sia auto-emesso (DN soggetto e DN emittente sono uguali) e che l'autofirmato non è necessariamente una radice; come per X.509 , una CA può emettere tali cose se vuole gestire una transizione fluida quando prova a cambiare alcune caratteristiche nel suo certificato. L' algoritmo di convalida del percorso include molte disposizioni per tale CA intermedio auto emessa certificati.

    
risposta data 24.07.2013 - 22:58
fonte
0

Non esiste un modo per controllare l'euristica dei certificati di Windows, ma puoi comunque eseguire un'operazione in un solo passaggio.

Puoi distribuire uno script che lo fa. Tieni presente che deve essere eseguito da un amministratore poiché l'archivio root della macchina non può essere modificato dagli utenti non privilegiati . Supponendo che i certificati siano su una condivisione di rete, è possibile utilizzare:

certutil -addstore Root \path\to\rootcertificate.cer
certutil -addstore Intermediate \path\to\intermediatecertificate.cer

In alternativa, credo che un utente non amministratore possa installare il certificato solo per se stesso con l'opzione "-user" , ad esempio:

certutil -user -addstore Root \path\to\certificatefile.cer

Se disponi di un dominio, è molto più facile distribuire certificati negli archivi appropriati tramite i Criteri di gruppo . Ciò lo rende automatico al momento dell'adesione al dominio, quindi non è richiesta alcuna azione sul client.

    
risposta data 02.04.2018 - 18:59
fonte

Leggi altre domande sui tag