环境:Windows Server 2019,林/域功能级别 - 2016,约 40 个域控制器,约 17 个站点
PKI 结构:我们从第三方获得证书。我们向他们提交 CSR,并从他们那里获得证书。过去和现在,证书链的顺序是:根证书 > 中间证书 > 机器/用户证书
我在一个站点上有服务器1和服务器2-4,它们各自都有证书。如果我从服务器2检查(使用Windows UI)这两台服务器的证书链,证书链看起来与预期一致。如果我从服务器1检查,两台服务器的证书链顶部都莫名其妙地出现了另一个证书。
这使得我的根 CA 证书看起来像是由另一个证书颁发的,但事实并非如此。
我想知道为什么从不同的服务器查看时这些证书在根目录显示不同的证书。
服务器 1 在漏洞报告中显示由不受信任的证书颁发。服务器 2 未出现在此列表中。生成这些报告的服务器是一台 Linux 服务器,并且似乎正在使用 OpenSSL 执行这些检查。
我们采取的另一个故障排除步骤是剪切一个新的证书。在我导入证书之前,它显示了一个预期的证书链。导入之后,那个神秘的证书又出现了,而且又出现在根证书上方。
因此,在我导入它之前,证书链看起来像 Root > Intermediate > Machine 在我导入它之后,它看起来像这样:Mysterious New Root > Previous Root > Intermediate > Machine
我的猜测是:您认为的“根”证书实际上是由上级 CA 颁发的。
在大多数服务器中,此“根”证书已被放置在受信任的根 CA 存储中,因此即使他们不知道是谁颁发的,它也被认为是值得信赖的。
在该特定服务器中,实际的上级根证书也已添加到受信任的根 CA 存储中,因此该服务器能够跟踪整个链。
您应该比较服务器的受信任的根 CA 存储,并检查是否存在这个“神秘的”超级根证书。