Go промежуточный сертификат CA папа отсутствует

Question

Go промежуточный сертификат CA папа отсутствует

Неповрежденный ПК (Windows 10 Pro, подключенный к домену AD DS)

Затронутые ПК (автономные версии Windows 10 Pro)

Что может привести к отсутствию промежуточных, но не корневых сертификатов CA?

Я проверил эту местную политику Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off Automatic Root Certificates Update не настроен

Я подтвердил, что служба Windows Cryptographic Services / CryptSvc работает и перезапускает это не имеет значения.

Насколько я вижу, я не обнаружил соответствующих событий.

https://support.microsoft.com/en-gb/help/3004394/support-for-urgent-trusted-root-updates-for-windows-root-certificate-p сообщает:

Программа корневых сертификатов Windows позволяет автоматически распространять доверенные корневые сертификаты в Windows. Обычно клиентский компьютер опрашивает обновления корневого сертификата один раз в неделю.

Как вы вручную форсируете обновление?

0

windows-10 godaddy pki certificate-authority

Источник

mythofechelon 02 авг '17 в 14:23

1 ответ

Решение

Другие вопросы по тегам windows-10 godaddy pki certificate-authority

garethTheRed 02 авг '17 в 18:41 2017-08-02 18:41 · Accepted Answer · 2017-08-02 18:41

Сервер, обеспечивающий соединение TLS/SSL (как на веб-сервере HTTPS), должен отправить клиенту все сертификаты в цепочке. То есть сертификат конечного объекта, все подчиненные ЦС и необязательно (но не обязательно) сертификат корневого ЦС.

На ваших так называемых Затронутых ПК выявляется признак неверной настройки веб-сервера, который просто отправляет сертификат конечного объекта. Ваш браузер получает этот сертификат и не может связать его с корневым центром сертификации, установленным в вашем хранилище доверия.

Ваш незатронутый ПК показывает признак компьютера Windows, который удобно хранит сертификаты подчиненного ЦС в своем хранилище сертификатов. Они обычно размещаются там, когда пользователь переходит на другой веб-сайт, который использует те же подчиненные ЦС, но администратор которого знает, что они делают:-) ПК все еще только получает сертификат конечного объекта с сервера, но, поскольку у него есть подчиненный Сертификаты CA кэшируются, он может объединять их вместе и создавать цепочку.

Теперь в Windows есть средство для загрузки любых подчиненных ЦС из хранилища, но это будет работать только в том случае, если (а) URL-адрес этого хранилища содержится в сертификате, (б) сертификат фактически установлен в этом хранилище и (в)) хранилище находится в сети и доступно.

Чтобы решить эту проблему, вам нужно строгое слово с администратором веб-сайта и сказать им, чтобы прочитать RFC 5246. В частности, раздел 7.4.2.