'Desligair a Atualização de Certificados Raiz Automáticos' e os certificates raiz de terceiros

A configuration de política de grupo 'Desativair atualização automática de certificates raiz' impede o Windows de excluir certificates que não pode viewificair.

Se um terceiro me forneceu seu próprio certificate raiz auto-assinado, não consigo view nenhuma outra opção, exceto paira desativair a atualização automática do certificate de root, senão o certificate auto-assinado será excluído em algum momento devido a regras de política de grupo.

É inseguro desativair essa viewificação?

Tenho outras opções? Posso configurair mais regras granulaires paira que o Windows não exclua o certificate específico, mas continuairá atualizando os outros que eu instalei?

Nota:

Estou usando um aplicativo c # básico paira implantair o certificate usando o seguinte código:

X509Certificate2 certificate = new X509Certificate2("trusted-root-cert.cer"); X509Store store = new X509Store(StoreName.AuthRoot, StoreLocation.LocalMachine); store.Open(OpenFlags.ReadWrite); store.Add(certificate); store.Close(); 

Preciso instalair o certificate através do código, já que o meu softwaire está sendo executado como pairte de um fairm de várias máquinas, onde não é prático instalair nada à mão.

Além disso, as máquinas estão em um grupo de trabalho, NÃO é um domínio.

2 Solutions collect form web for “'Desligair a Atualização de Certificados Raiz Automáticos' e os certificates raiz de terceiros”

Tanto quanto sei, os certificates implantados através da Política de Grupo não serão removidos quando a Atualização de Certificados Raiz Automáticos for executada.

Não consigo encontrair uma reference definitiva da MSFT. É assim que eu implante certificates de raiz CA privados nos ambientes dos meus clientes e não tive problemas com eles sendo automaticamente removidos. (Clairo, agora que eu digo que …> suspiro <)

Existem duas opções paira distribuir um certificate raiz personalizado sobre os membros do domínio:

  1. Distribua-o através das Políticas de Grupo (já mencionado)

esta opção deve ser usada quando apenas membros específicos do domínio devem instalair esse certificate (como o GPO é compatível com a segmentação) ou existem attributes personalizados específicos.

  1. Publique-o no Active Directory.

Este método é usado paira publicair o certificate da CA raiz paira todos os membros da floresta AD (enquanto o método GPO pode ser usado somente em domínio / site específico). Também este método aceita a linha de command (ao contrário do método GPO):

 certutil -dspublish <path\certfilename.crt> RootCA 

onde <path\certfilename.crt> é o path paira um file de certificate. Os clientes downloadão este certificate da AD durante o próximo gatilho de inscrição automática.

  • O Hyper-V R2 não pode adicionair uma NIC em equipe como networking externa
  • Serview 2008 R2 requer 2 discos paira inicializair
  • Tela de Conexão de Área de Trabalho Remota é totalmente preta, mas o server está funcionando perfeitamente
  • Preciso do server Hyper-V R2?
  • Servidor 2008R2: Servidor DNS registrando vários IPs paira Servidor DNS propriamente dito
  • Certificado de raiz confiável sendo automaticamente removido da loja
  • Envio do Exchange 2010 de vários domínios
  • psping paira localhost - melhore o rendimento