现在，Microsoft不再更新Windows Server的根CA证书了？

Microsoft 在2013年1月从WSUS删除了根CA更新。我现在有一些Windows Server 2012的全新安装，这些根CA的设置不足（基本上只是Microsoft自己的CA）。这意味着，只要我们的应用程序调用https Web服务，它将失败，除非我专门安装了根CA。

由于我们的应用程序在负载平衡器上使用SSL终止，因此我不必担心提示Microsoft删除这些更新的16KB SChannel限制。我想找到安装和更新标准根CA的资源。有人知道这样的资源吗？

这是WS2012中默认根CA的图像。

看来这是由于我公司使用的奇怪GPO。

作为概括这里的GPO设置计算机配置\管理模板\系统\ Internet通信管理\关闭自动根证书更新被启用，这意味着操作系统将无法从微软拉根CA。将此设置为“ 已禁用”可解决此问题。

我们发现某些Windows 2012 R2服务器上的根CA已经过时。

在调查了这一情况之后，Microsoft似乎发布了一个补丁程序，以提供“ 控制更新根证书功能以防止信息往返Internet的流 ”（KB文章）的功能。

此修补程序引入了新的注册表项，用于阻止Windows Update与其他功能一起更新根CA。

将以下注册表项设置为0可解决此问题。更改后，证书立即开始安装。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

虽然我可以看到管理员可能希望在未经其同意的情况下控制他们的计算机，但我认为不允许根CA更新是一个边缘情况，这很可能会导致更多问题得以解决，并且我还不知道为什么注册表项已在我们的服务器上设置。

还有就是你可以在Windows上做2012 R2服务器这些注册表项和其他事情的讨论，在这里

如果没有人会说，我会。微软几年前搞砸了，并发布了对受信任的根CA的更新，该更新破坏了任何幸运的计算机，在Microsoft提取更新之前，该计算机足够获得上述更新。直到今天，我仍然在处理这个问题。

因为我了解安全隐患，所以未提供与这些问题的直接链接。相反，这是在Google中搜索以查找相关信息的内容：

更新KB3004394在Windows 7 / Windows Server 2008 R2中打破了根证书

Microsoft发布了“ Silver Bullet”补丁KB 3024777，以消除KB 3004394

而我今天经历的那件事引起了无数的问题：

安装KB 931125后的SSL / TLS通信问题

此软件包安装了330多个第三方根证书颁发机构。当前，Schannel安全软件包支持的受信任证书颁发机构列表的最大大小为16 KB。具有大量的第三方根证书颁发机构将超过16k的限制，并且您将遇到TLS / SSL通信问题。

另一个原因是因为微软多年来一直不信任许多根CA。懒惰的管理员将仅对其Intranet服务器禁用此功能，并且永远不会解决根本问题-重新签名不再受信任的所有内容。

无论如何，简单的答案是使用不同的代码签名证书。