মাইক্রোসফ্ট তাদের আর আপডেট না করে এখন উইন্ডোজ সার্ভারের জন্য রুট সিএ শংসাপত্রগুলি কোথায় পাবেন?

মাইক্রোসফ্ট জানুয়ারী ২০১৩ সালে ডাব্লুএসইউএস থেকে রুট সিএ আপডেটগুলি সরিয়ে নিয়েছে । আমার কাছে এখন উইন্ডোজ সার্ভার ২০১২-এর কয়েকটি নতুন ইনস্টল রয়েছে যার মূল সিএগুলির অপর্যাপ্ত সেট রয়েছে (মূলত কেবল মাইক্রোসফ্টের নিজস্ব সিএ)) এর অর্থ হ'ল যখনই আমাদের অ্যাপ্লিকেশন কোনও https ওয়েব পরিষেবা কল করে এটি ব্যর্থ হবে যদি না আমি নির্দিষ্টভাবে মূল সিএ ইনস্টল করি unless

যেহেতু আমাদের অ্যাপ্লিকেশন কোনও লোড ব্যালেন্সারে এসএসএল টার্মিনেশন ব্যবহার করে তাই আমাকে 16 কেবি স্ক্যানেল সীমাবদ্ধতা সম্পর্কে চিন্তা করার দরকার নেই যা মাইক্রোসফ্টকে এই আপডেটগুলি সরিয়ে ফেলার অনুরোধ করেছিল। আমি স্ট্যান্ডার্ড রুট সিএগুলি ইনস্টল এবং আপডেট করার জন্য একটি উত্স খুঁজে পেতে চাই। কেউ কি এমন সম্পদ জানেন?

এখানে WS2012-এ ডিফল্ট রুট CAগুলির একটি চিত্র রয়েছে।

দেখে মনে হচ্ছে এটি আমার সংস্থাটি ব্যবহার করে এমন অডবোল জিপিওর কারণে।

এখানে উল্লিখিত হিসাবে জিপিও সেটিংস কম্পিউটার কনফিগারেশন \ প্রশাসনিক টেম্পলেটস \ সিস্টেম \ ইন্টারনেট যোগাযোগ পরিচালনা Auto বন্ধ করুন স্বয়ংক্রিয় রুট শংসাপত্রগুলি আপডেট সক্ষম করা হয়েছিল , যার অর্থ ওএস মাইক্রোসফ্ট থেকে রুট সিএগুলি টানবে না। এটি অক্ষম করাতে সেট করা সমস্যার সমাধান করে।

আমরা দেখেছি যে আমাদের কয়েকটি উইন্ডোজ 2012 আর 2 সার্ভারে রুট সিএগুলি পুরানো ছিল।

এটি তদন্ত করে দেখা যাচ্ছে মাইক্রোসফ্ট " ইন্টারনেটের কাছে এবং থেকে তথ্য প্রবাহ রোধ করতে আপডেট রুট শংসাপত্রগুলির বৈশিষ্ট্য নিয়ন্ত্রণ " ( কেবি নিবন্ধ ) এর ক্ষমতা প্রদানের জন্য একটি প্যাচ প্রকাশ করেছে ।

এই প্যাচটি অন্যান্য কার্যকারিতা সহ রুট সিএগুলি আপডেট করা থেকে উইন্ডোজ আপডেট বন্ধ করার জন্য নতুন রেজিস্ট্রি কীগুলি প্রবর্তন করে।

নিম্নলিখিত রেজিস্ট্রি কী 0 তে সেট করা সমস্যার সমাধান করে। শংসাপত্রগুলি পরিবর্তনের সাথে সাথে ইনস্টল করা শুরু করে।

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate

আমি দেখতে পাচ্ছি যে প্রশাসকরা তাদের অনুমতি ছাড়াই তাদের মেশিনগুলি আপডেট হতে নিয়ন্ত্রণ করতে পারে, আমি মনে করি যে রুট সিএগুলিকে আপডেট করার অনুমতি না দেওয়া একটি প্রান্তের ক্ষেত্রে এটি আরও সমস্যার কারণ হতে পারে এবং এটি এখনও জানি না কেন রেজিস্ট্রি কী আমাদের সার্ভারে সেট করা হয়েছে।

এই রেজিস্ট্রি কীগুলি এবং আপনি এখানে উইন্ডোজ 2012 আর 2 সার্ভারগুলিতে করতে পারেন এমন অন্যান্য বিষয় নিয়ে আলোচনা রয়েছে

অন্য কেউ যদি এটি না বলে, আমি করব। মাইক্রোসফ্ট কয়েক বছর আগে স্ক্রু আপ করেছে এবং বিশ্বস্ত রুট সিএগুলিতে একটি আপডেট প্রকাশ করেছে যা মাইক্রোসফ্ট আপডেটটি টানানোর আগে মাইক্রোসফ্টের আপডেটটি পাওয়ার জন্য যথেষ্ট ভাগ্যবান হয়ে গেছে machine আজ অবধি, আমি এখনও এই সমস্যাটি মোকাবিলা করি।

যেহেতু আমি সুরক্ষা সম্পর্কিত প্রভাবগুলি বুঝতে পারি, তাই আমি এই বিষয়গুলির সাথে সরাসরি লিঙ্ক সরবরাহ করছি না। পরিবর্তে, এটি গুগলে সম্পর্কিত তথ্য সন্ধানের জন্য এটি অনুসন্ধান করে:

আপডেট KB3004394 উইন্ডোজ 7 / উইন্ডোজ সার্ভার 2008 আর 2-এ রুট শংসাপত্র ভেঙে দেয়

মাইক্রোসফ্ট কেবি 3004394 দূর করতে 'সিলভার বুলেট' প্যাচ কেবি 3024777 প্রকাশ করেছে

এবং আমি আজ পর্যন্ত অভিজ্ঞতা পেয়েছি এবং এটি অগণিত সমস্যার কারণ:

আপনি কেবি 931125 ইনস্টল করার পরে এসএসএল / টিএলএস যোগাযোগের সমস্যা

এই প্যাকেজ 330 টিরও বেশি তৃতীয় পক্ষের রুট শংসাপত্র কর্তৃপক্ষ ইনস্টল করেছে। বর্তমানে, স্ক্যানেল সুরক্ষা প্যাকেজ সমর্থন করে এমন বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের তালিকার সর্বাধিক আকার 16 কিলোবাইট (কেবি)। তৃতীয় পক্ষের রুট শংসাপত্র কর্তৃপক্ষের একটি বিশাল পরিমাণ থাকা 16k সীমা ছাড়িয়ে যাবে এবং আপনি টিএলএস / এসএসএল যোগাযোগের সমস্যাগুলির সম্মুখীন হবেন।

আর একটি কারণ হ'ল মাইক্রোসফ্ট বছরের পর বছর ধরে বেশ কয়েকটি মূল সিএগুলিকে বিশ্বাস করে না। অলস প্রশাসকরা কেবল তাদের ইন্ট্রানেট সার্ভারগুলির জন্য এই বৈশিষ্ট্যটি অক্ষম করে দেবে এবং কখনই মূল সমস্যাটি সমাধান করবে না - সবকিছুতে পুনরায় স্বাক্ষর করা আর বিশ্বাসযোগ্য নয়।

যাইহোক, সহজ উত্তরটি একটি ভিন্ন কোড স্বাক্ষরকারী শংসাপত্র ব্যবহার করা।