A configuração de política de grupo 'Desativar atualização automática de certificados raiz' impede que o Windows exclua certificados que não podem ser verificados.
Se um terceiro me forneceu seu próprio certificado raiz autoassinado, não vejo outra opção a não ser desativar a atualização automática do certificado raiz, caso contrário, o certificado autoassinado será excluído em algum momento devido à política de grupo regras.
É inseguro desativar esta verificação?
Eu tenho outras opções? Posso configurar regras mais granulares para que o Windows não exclua o certificado específico, mas continue atualizando as outras que eu instalei?
Nota:
Estou usando um aplicativo c # básico para implantar o certificado, usando o seguinte código:
X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer");
X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine);
store.Open(OpenFlags.ReadWrite);
store.Add(certificate);
store.Close();
Eu preciso instalar o certificado via código, já que meu software está sendo executado como parte de um farm de várias máquinas, onde não é prático instalar nada manualmente.
Além disso, as máquinas estão em um grupo de trabalho, não em um domínio.
Tanto quanto eu saiba, os certificados implantados via Group Policy não será removido quando a atualização automática de certificados raiz for executada.
Não consigo encontrar uma referência definitiva da MSFT. É assim que eu implanto certificados raiz privados da CA nos ambientes dos meus clientes e não tive problemas com eles sendo removidos automaticamente. (Claro, agora que eu digo isso ... > suspiro <)
Existem duas opções para distribuir um certificado raiz personalizado nos membros do domínio:
essa opção deve ser usada quando apenas membros específicos do domínio devem instalar esse certificado (como o GPO oferece suporte à segmentação) ou há atributos personalizados específicos.
Esse método é usado para publicar o certificado de CA raiz em todos os membros da floresta do AD (enquanto o método de GPO pode ser usado somente em determinado domínio / site). Também este método suporta a linha de comando (ao contrário do método GPO):
certutil -dspublish <path\certfilename.crt> RootCA
em que <path\certfilename.crt> é o caminho para um arquivo de certificado. Os clientes baixarão esse certificado do AD durante o próximo acionador de inscrição automática.