未受影响的PC(Windows 10 Pro连接到AD DS域)
受影响的PC(Windows 10 Pro独立版)
什么可能导致中间但不是根CA证书丢失?
我已验证Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings\Turn off Automatic Root Certificates Update未配置本地策略。
我已经验证Windows服务Cryptographic Services/ CryptSvc正在运行并重新启动它并没有什么区别。
据我所知,我发现没有记录任何相关事件。
Windows根证书程序使受信任的根证书能够在Windows中自动分发。通常,客户端计算机每周轮询一次根证书更新。
你如何手动强制更新?
Answers:
提供TLS / SSL连接的服务器(如在HTTPS Web服务器中)应该向客户端发送链中的所有证书。即,最终实体证书,所有从属CA以及可选(但不是必需的)根CA证书。
您所谓的受影响的PC显示出错误配置的Web服务器的症状,并且只是发送最终实体证书。您的浏览器获取此证书,无法将其链接到您的信任锚存储中安装的根CA.
您的未受影响的PC显示Windows计算机的症状,该计算机可方便地在其证书存储中缓存从属CA证书。当用户浏览到另一个使用相同从属CA但管理员知道他们正在做什么的网站时,通常会将这些放在那里:-) PC仍然只从服务器接收终端实体证书,但因为它有下属CAs证书被缓存,它可以将它们连接在一起并构建链。
现在,Windows有一个从存储库下载任何从属CA的工具,但只有在(a)该存储库的URL包含在证书中,(b)证书实际安装在该存储库上,并且(c) )存储库在线且可访问。
No trust paths available. Issuer unknown, or intermediate certificate(s) missing.
GoDaddy Certificate Chain - G2| gdig2.crt (der)| certs.godaddy.com/repository/获取) gdig2.crt。