windows-server-2008 – 什么原因导致将受信任的根证书颁发机构

突然几周前,所有测试服务都停止工作,对这些服务的任何请求都以403.7“需要客户端证书”问题结束.经过大量搜索后,我发现this article描述了与Windows Server 2003类似的问题.

简而言之,问题是由本地计算机证书存储中安装的过多受信任的根CA引起的.相互HTTPS握手期间的服务器将可信CA的“列表”发送到客户端,客户端可以根据此列表选择证书(除非IIS中的站点配置了CTL,但是适用于a different question).问题是列表只能有16KB,所以如果有更多的CA,它们就不会发送到客户端.如果使用的客户端证书是由其中一个截断的CA颁发的,则不会将其发送到服务器.

之后,我检查了本地机器的受信任的根证书存储,我发现安装了200多个受信任的根CA.更糟糕的是：我们没有安装它们！我在某处找到了一些信息(抱歉找不到它),这些CA是通过Windows Update自动安装的.

问题：如何在不关闭Windows更新的情况下关闭将CA证书安装到我们的计算机上？