Estou tentando criar um servidor Windows com um servidor IIS que tenha um site com autenticação de certificado de cliente. Os certificados do cliente são assinados por nossa própria CA raiz. Por causa disso, devemos importar essa CA para as Autoridades Raiz Confiáveis no servidor. Eu posso importar com êxito o certificado e, por vezes, a primeira solicitação para o servidor é bem-sucedida. Infelizmente, o Windows exclui os certificados da CA rapidamente e, depois disso, a solicitação para o servidor começa a falhar com erros 403. Eu encontrei o seguinte no Visualizador de Eventos:
Exclusão automática com êxito do certificado raiz de terceiros :: Assunto: impressão digital Sha1: < "A impressão digital do nosso certificado" >.
Como faço para o Windows parar de fazer isso? O servidor está sendo executado no Amazon EC2 e queremos evitar o uso de uma AMI personalizada. Portanto, eu preciso ser capaz de desabilitar isso usando um script (de preferência PowerShell).
Você deve ser capaz de definir a configuração de diretiva de grupo relevante (Desativar Atualizações Automáticas de Certificado Raiz) via script usando o comando LOCALGPO encontrado aqui ou definindo o valor do registro diretamente:
Key: HKLM\Software\Policies\Microsoft\SystemCertificates\AuthRoot\
Name: DisableRootAutoUpdate
Value: 1
Type: REG_DWORD