我的公司为基于服务器的产品分发
Windows Installer.根据最佳实践,它使用证书进行签名.与
Microsoft’s advice一致,我们使用
GlobalSign code signing certificate,Microsoft声称默认情况下所有Windows Server版本都认可.
现在,除非已使用组策略配置服务器,否则一切正常:计算机配置/管理模板/系统/ Internet通信管理/ Internet通信设置/关闭自动根证书更新为已启用.
我们发现我们的早期测试版之一使用此配置运行,导致安装期间出现以下错误
A file that is required cannot be installed because the cabinet file [long path to cab file] has an invalid digital signature. This may indicate that the cabinet file is corrupt.
我们把它写成一个奇怪的东西,毕竟没有人能够解释为什么系统是这样配置的.但是,现在该软件可供一般使用,似乎我们的客户的两位数(百分比)配置了此设置,没有人知道原因.许多人不愿意改变设置.
我们为客户编写了KB article,但我们真的不希望问题发生,因为我们真正关心客户体验.
在研究这个问题时我们注意到了一些事情:
>新的Windows Server安装不会在受信任的根颁发机构列表中显示Globalsign证书.
> Windows Server未连接到Internet,安装我们的软件工作正常.在安装结束时,Globalsign证书存在(不是我们进口的).在后台Windows似乎在第一次使用时透明地安装它.
所以,这是我的问题.为什么禁用根证书更新这么常见?再次启用更新有哪些潜在的副作用?我想确保我们能够为客户提供适当的指导.
在2012年末/ 2013年初,自动根证书更新存在问题.临时修复是禁用自动更新,因此部分此问题是历史性的.
另一个原因是受信任的根证书程序和根证书分发,(解释为Microsoft)…
Root certificates are updated on Windows automatically. When a [system] encounters a new root certificate,the Windows certificate chain verification software checks the appropriate Microsoft Update location for the root certificate.
到目前为止,那么好但是……
If it finds it,it downloads it to the system. To the user,the
experience is seamless. The user does not see any security dialog
boxes or warnings. The download happens automatically,behind the
scenes.
发生这种情况时,可能会显示证书正在自动添加到根存储中.所有这些都使一些系统管理员感到紧张,因为你无法从证书管理工具中删除“坏”CA,因为它们不能删除……
实际上有一些方法可以让Windows下载完整列表,以便他们可以按照自己的意愿编辑它,但通常只是阻止更新.许多系统管理员不理解加密或安全(通常),因此他们毫无疑问地遵循所接受的智慧(正确或其他),并且他们不喜欢对涉及安全的事情进行更改,而他们并不完全理解相信它是一些黑人艺术.