windows-server-2008 – 什么原因导致将受信任的根证书颁发机构
我花了一整天时间使用相互HTTPS来诊断测试服务的问题.服务在运行
Windows Server 2008 Enterprise Edition的测试服务器上的IIS 7中托管.
突然几周前,所有测试服务都停止工作,对这些服务的任何请求都以403.7“需要客户端证书”问题结束.经过大量搜索后,我发现this article描述了与Windows Server 2003类似的问题. 简而言之,问题是由本地计算机证书存储中安装的过多受信任的根CA引起的.相互HTTPS握手期间的服务器将可信CA的“列表”发送到客户端,客户端可以根据此列表选择证书(除非IIS中的站点配置了CTL,但是适用于a different question).问题是列表只能有16KB,所以如果有更多的CA,它们就不会发送到客户端.如果使用的客户端证书是由其中一个截断的CA颁发的,则不会将其发送到服务器. 之后,我检查了本地机器的受信任的根证书存储,我发现安装了200多个受信任的根CA.更糟糕的是:我们没有安装它们!我在某处找到了一些信息(抱歉找不到它),这些CA是通过Windows Update自动安装的. 问题:如何在不关闭Windows更新的情况下关闭将CA证书安装到我们的计算机上?
我不认为它们都是由Windows Update安装的,老实说.可能会有更多的人遇到这个问题,对吧?
它们也可以通过GPO和域成员身份安装,这是我首先看到的地方. 但是,在查看之前,我想允许使用HTTPS …(可能,除非您怀疑或知道您在那里有恶意CA信任),这最容易通过删除您不想要的那些来完成. Certificate Manager Tool,以及GPO的启动或关闭脚本部分中的脚本删除. 它们也可以被恶意安装,如果是这种情况,你就会受到严重破坏,我建议您需要开始将每台使用恶意证书的计算机作为可信任CA进行擦除. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- Qt5对WinXP系统的支持和兼容情况
- WPF:DLL中等效的应用程序资源
- Microsoft Translator API Java,如何使用Azure获取客户端新
- Win10安装Mysql5.7数据库
- windows-7 – Windows 7上的SetCommState失败
- windows-server-2012 – 如何在Windows Server 2012核心上安
- Windows – 防止硬重置删除WIN7下的注册表更改?
- 【逆向】QQkey盗号木马原理分析
- Windows Server 2012:安装IIS、FTP服务
- windows-server-2003 – 当访问被拒绝且安全选项卡丢失时,如
- windows – 如何在Google Chrome中标题栏中绘制按
- windows-8 – 我可以用URL打开Windows 8应用程序
- 创建Windows Service
- active-directory – Microsoft是否在Server 200
- 如何有效克服“u_int8_t vs uint8_t”问题
- 在Emacs Slime Clojure Windows设置中,无法加载c
- Hewlett Packard定制OEM Windows上的Delphi平台错
- media-player – 可以在Windows媒体播放器中显示
- windows-10 – 父母和子女连接时系统冻结
- QT 使用QSetting读取配置文件中的中文乱码解决方