Pregunta Windows 2012R2 parece descargar e instalar automáticamente certificados raíz intermedios


Mientras preparaba un nuevo servidor Windows 2012R2 para la producción, necesitaba instalar un certificado SSL (GlobalSign Domain) para el sitio web que alimenta nuestra aplicación. Hice esto al generar una solicitud de certificado, enviarla a GlobalSign y luego completar la solicitud utilizando el certificado emitido con formato PEM.

Normalmente, también tendría que ir a buscar el correspondiente certificado intermedio GlobalSign DomainSSL e instalarlo también. Sin embargo, el certificado intermedio relevante pareció instalarse automáticamente tan pronto configuré los enlaces de mi sitio IIS.

Sé a ciencia cierta que el certificado intermedio no estaba presente en el almacén de certificados de la computadora local en:

Intermediate Certification Authorities -> Certificates

... en el complemento Certificados MMC.

Lo comprobé primero y luego, cuando apareció mágicamente, me encontré con mi certificado SSL .pfx Importar y la configuración de enlace de IIS en un servidor 2012R2 virgen y confirmó que el certificado intermedio se había instalado automáticamente.

No recuerdo que esto haya sucedido con Windows 2008 / R2. ¿Es esta una nueva característica, o algo que está activado de forma predeterminada que no era anteriormente?

Actualizar:

HBruijnLa respuesta explica la apariencia del certificado intermedio en mi segundo servidor "virgen" mencionado anteriormente. De hecho, he exportado el certificado como .pfx archivo y lo importó en el otro servidor. Comprobando con el openssl La herramienta revela la presencia de la raíz y los certificados intermedios.

Sin embargo... en el servidor original completé una solicitud de certificado pendiente y solo cargué el certificado formateado "PEM". Esta no incluye Los certificados raíz / intermedios (lo comprobé con openssl).


7
2018-06-03 16:31


origen


¿Estás seguro de que no estaba allí antes de empezar? Muchos sistemas operativos se envían con jerarquías PKI bastante completas. - kce
@kce - definitivamente no estaba allí. Es por eso que construí una máquina virtual nueva y limpia solo para comprobar mi cordura. - Kev


Respuestas:


Un archivo ".pfx" es un Archivo PKCS # 12: un formato de archivo para   almacenar muchos objetos de criptografía como un solo archivo. Es comúnmente   utilizado para [cortar] empaquetar un certificado X.509 y todos los miembros de un   cadena de confianza

Importó el certificado intermedio junto con el certificado SSL.


6
2018-06-03 16:48



¿Puedes ver la actualización de mi pregunta. Tienes razón acerca de la .pfx expediente. Sin embargo, ver la segunda parte de mi actualización. - Kev
Sospecho que es una "característica" no documentada para usuarios expertos - HBruijn


También he visto que esto suceda en el pasado, y tuvimos algunos problemas que me hicieron ver esto. Mi sistema Windows 7 (SP1, Enterprise) hace lo mismo. Y cavar alrededor con el Monitor de proceso de Wireshark y Sysinternals revela lo siguiente.

Uno de mis almacenes de certificados tiene un certificado firmado por COMODO para el cual un certificado de la cadena (b9b4c7a ...) no está disponible en ninguno de mis almacenes de certificados. Pero el certificado tiene una propiedad de 'Acceso a la información de la autoridad', que contiene la URL http://crt.comodoca.com/COMODOHigh-AssuranceSecureServerCA.crt.

Apertura de este certificado (a través de mmc.execomplemento de Certificados) para mostrar el cuadro de diálogo 'Certificado' de Windows estándar, activa una descarga de la URL anterior y el certificado b9b4c7a ... resultante se coloca en la tienda de Autoridades de Certificación Intermedia para el usuario actual.

Y también se almacena en caché en el c:\users\<currentUser>\C:\Users\mklooste\AppData\LocalLow\Microsoft\CryptnetUrlCache, con una entrada tanto en el Metadata y el Content carpeta.

Si ahora repito la misma acción (después de eliminar el certificado del almacén de las Autoridades de certificación intermedias de los usuarios actuales), entonces se restaura nuevamente, pero esta vez no se descarga de COMODO sino que se copia de la CryptnewUrlCache.

No pude encontrar ninguna documentación sobre esta característica de Microsoft. Sin embargo, parecen seguir RFC 5280, sección 4.2.2.1, "Acceso a la información de la autoridad", que dice:

los     La descripción de los emisores de CA referenciados está destinada a ayudar al certificado     usuarios en la selección de una ruta de certificación que termina en una     Punto de confianza por el usuario del certificado.


2
2017-08-21 09:23





Todo depende del formato del certificado que recibió de su Autoridad de certificación, GlobalSign, Comodo, Symantec (anteriormente VeriSign). Si recibió el Certificado en el formato PKCS # 7, incluirá la raíz y los intermedios. Si recibió el certificado en el x.509, normalmente no incluye la raíz y los intermedios, por lo tanto, deberá obtener esos archivos del sitio de Cert Authority. He instalado certificados en Windows IIS 6, 7 y 8 y, por lo que sé, el formato recomendado es PKCS # 7. No utilicé openssl. La raíz y el intermedio se instalan automáticamente cuando pasas por el asistente.

Puede buscar en el archivo cert que recibió cambiándolo a un archivo .txt. Normalmente verá === Comenzar certificado === y ==== Finalizar certificado ===. Si ve 3 o 4 de esos, entonces la raíz y / o intermedios están agrupados en ese archivo de certificado. Si solo ve uno, deberá obtener la raíz y el intermediario del sitio de su Autoridad de certificación.


0
2017-08-27 17:59



Lo sentimos, el formato recomendado es PKCS # 7 para Windows IIS, pero si se instalara en algo como Oracle, se usaría el x.509 porque necesitará instalar la raíz y los intermedios por separado y tal vez se instale en un cierto orden. - Hunny