一种非信任证书自动更新方法(可用于Windows Vista, Windows Server 2008,Windows 7,Windows Server 2008 R2)
介绍
一种针对Windows Vista, Windows Server 2008, Windows 7, 和 Windows Server 2008 R2 的非信任证书自动更新方法可以实现了。此次更新扩展了Windows Vista 和 Windows 7 中已有的自动根证书更新机制,以实现让受损的或者不可信的证书被正确标记为不可信。
**证书信任列表(CTL)**被预定义为一系列被标价为信任实体的项目。信任列表中的所有项目都是经过认证的和经过信任标记实体标记的。本次更新扩展了现有功能,方法是通过包含公开信任键或者它们的签名列表的CTL把已知非信任证书添加到非信任证书列表中。这次更新被安装后,用户将从自动更行非信任证书中受益。
离线系统的用户无法从本次性能提升中受益。这些用户依旧需要当信任根证书下载后在进行更新。请参阅“更多信息”模块。
作为这次更新的一部分,信任CTL和非信任CTL可以下载。这对于在防火墙中硬编码这些URL作为例外的企业可能造成问题。
更多信息
离线用户可以安装这次更新。但是这些用户无法体会这次更新的好处。实际上,安装这次更新可能导致重启是服务启动立即失败。当系统重新启动进行证书验证时可以会发生很长的延迟,因为系统需要检索Windows更新的信任和非信任CTLs。
对于安装了 Windows Vista,Windows 7,Windows Server 2008,或者Windows Server 2008 R2 系统并且使用了非信任证书自动更新(安装了KB 2677070 或者 KB 2813430),参阅这部分的后续内容和Microsoft Base article 2813430 获取更多信息。用户不需要采取任何措施因为系统会自动保护(来源原文,后果译者概不负责)。
如果因为无法连接网络或者防火墙阻挡使系统无法获取Windows更新,系统在重启后网络检索功能会超时。在一些案列中,当系统重启延时后30s后网络检索会超时。如果系统无法在30秒内完成重启,服务控制管理器(SCM)会停止服务。
如果你必须在离线系统中安装这次更新,你可以关闭信任和非信任CTLs的网络检索。这样做以后,你通过组策略设置关闭了自动根证书安装。可以通过以下方法关闭组策略设置自动更新。
- win+R 打开运行,输入 gpedit.msd ,点击 确定 ,进入 本地组策略编辑器 ,在本地组策略编辑器中新建组策略或者修改已有组策略。
- 在本地组策略编辑器中,在 计算机配置 节点下双击 Windows 设置。
- 双击 安全设置 ,然后双击 公匙策略 。
- 在细节窗口中,双击 证书路径验证设置 。
- 点击 网络检索 按键,选择 定义这些策略设置 ,然后清除 自动更新Microsoft根证书程序中的证书(推荐) 的勾选框。
- 单击 确定 ,然后关闭本地组策略编辑器。
当你做了这些修改后,当组策略允许时自动根证书安装会关闭。我们仅推荐不能联网或者自动更新功能被防火墙阻挡的用户。
如果自动根证书更新被关闭,管理员必须手动被Windows信任的管理根证书。受信任的根证书会在运行Windows时被组策略安装。更多关于如何管理受信任根证书,可以浏览Microsoft网站。