O Windows 2012R2 parece baixar e instalar automaticamente os certificados raiz intermediários

7

Enquanto preparava um novo servidor Windows 2012R2 para produção, eu precisava instalar um certificado SSL (GlobalSign Domain) para o site que alimenta nosso aplicativo. Fiz isso gerando uma solicitação de certificado, enviando para a GlobalSign e preenchendo a solicitação usando o certificado emitido pelo formato PEM.

Normalmente, eu também teria que pegar o certificado intermediário GlobalSign DomainSSL relevante e instalá-lo também. No entanto, o certificado intermediário relevante pareceu ser instalado automaticamente assim que eu configurei minhas ligações de site do IIS.

Eu sei que o certificado intermediário não estava presente no armazenamento de certificados do computador local em:

Intermediate Certification Authorities -> Certificates

... no snap-in Certificados do MMC.

Eu verifiquei primeiro e, quando apareceu magicamente, executei o certificado SSL .pfx import e a configuração de ligação do IIS em um servidor virgem 2012R2 e confirmei que o certificado intermediário havia sido instalado automaticamente.

Não me lembro de isso acontecer com o Windows 2008 / R2. Este é um novo recurso, ou algo que está ativado por padrão que não foi anteriormente?

Atualização:

A resposta do HBruijn explica a aparência do certificado intermediário no meu segundo servidor "virgem" mencionado acima. De fato, exportei o certificado como um arquivo .pfx e importei-o no outro servidor. A verificação com a ferramenta openssl revela a presença dos certificados raiz e intermediário.

No entanto ... no servidor original, concluí um pedido de certificado pendente e carreguei apenas o certificado formatado "PEM". Isso não inclui os certificados raiz / intermediário (verifiquei com openssl ).

    
por Kev 03.06.2014 / 18:31

3 respostas

6

A ".pfx" file is a PKCS#12 archive: an archive file format for storing many cryptography objects as a single file. It is commonly used to [snip] bundle a X.509 certificate and all the members of a chain of trust.

Você importou o certificado intermediário junto com o certificado SSL.

    
por 03.06.2014 / 18:48
2

Eu vi isso acontecer no passado também, e nos deparamos com alguns problemas me fazendo olhar para isso. Meu sistema Windows 7 (SP1, Enterprise) faz o mesmo. E cavar com o Wireshark e o Process Monitor da Sysinternals revela o seguinte.

Um dos meus armazenamentos de certificados tem um certificado assinado pelo COMODO para o qual um certificado da cadeia (b9b4c7a ...) não está disponível em nenhum dos meus armazenamentos de certificados. Mas o certificado tem uma propriedade "Acesso a informações da autoridade", que contém o URL link .

Abrir este certificado (através do snap-in Certificados de mmc.exe ) para mostrar a caixa de diálogo padrão 'Certificado' do Windows, aciona um download da URL acima e o certificado b9b4c7a ... resultante é colocado em as Autoridades de Certificação Intermediárias armazenam para o usuário atual .

E também é armazenado em cache no c:\users\<currentUser>\C:\Users\mklooste\AppData\LocalLow\Microsoft\CryptnetUrlCache , com uma entrada na pasta Metadata e Content .

Se eu agora repetir a mesma ação (depois de excluir o certificado do armazenamento de Autoridades de Certificação Intermediárias dos usuários atuais), ele será restaurado novamente, mas desta vez não será baixado do COMODO, mas copiado do CryptnewUrlCache .

Não consegui encontrar nenhuma documentação sobre esse recurso da Microsoft. No entanto, eles parecem seguir RFC 5280, seção 4.2.2.1, "Acesso às informações da autoridade" , que diz:

The referenced CA issuers description is intended to aid certificate users in the selection of a certification path that terminates at a point trusted by the certificate user.

    
por 21.08.2015 / 11:23
0

Tudo depende do formato do certificado que você recebeu da sua Autoridade de Certificação, GlobalSign, Comodo, Symantec (anteriormente VeriSign). Se você recebeu o certificado no formato PKCS # 7, ele incluirá a raiz e os intermediários. Se você recebeu o certificado no x.509, ele normalmente não inclui a raiz e os intermediários, portanto, você precisará coletar esses arquivos do site da autoridade de certificação. Instalei certs no Windows IIS 6,7 e 8 e, pelo que sei, o formato recomendado é o PKCS # 7. Eu não usei openssl. A raiz e o intermediário são instalados automaticamente quando você passa pelo assistente.

Você pode procurar no arquivo cert que você recebeu alterando-o para um arquivo .txt. Você normalmente verá === Begin Certificate === and ==== End Certificate ===. Se você vir 3 ou 4 delas, a raiz e / ou os intermediários serão empacotados nesse arquivo de certificado. Se você vir apenas um, precisará obter a raiz e o intermediário no site da sua Autoridade Certificadora.

    
por 27.08.2015 / 19:59