主页 / server / 问题 / 991974
Accepted
SaV
Asked: 2019-11-16 02:17:29 +0800 CST

为什么我必须使用 GPO 分发我的 CA 签名代码签名证书?

  • 772

我有一个企业 PKI。我的颁发 CA 是我的 Active Directory 的一部分。

对于 Windows Package Publisher,我颁发了一个代码签名证书,该证书通常在我的整个 AD 结构中是有效的(它由我的颁发 CA 签名)。我仍然必须为要使用 WPP 部署第三方更新的每台计算机导入代码签名证书。

如果代码签名证书未在本地计算机上本地导入,为什么 WSUS 不信任 WPP 包的任何想法?

wsus

1 个回答

  1. Best Answer

    此要求记录在建立信任关系和其他地方。关键是第三方 WSUS 包使用的特定代码签名证书必须在受信任的发布者存储中,这不仅仅是由任何有效证书签名的包的问题。

    特别注意以下段落:

    重要启用本地发布具有安全隐患;您的更新客户端和服务器现在将信任使用上述证书签名的代码。出于安全原因,如果您选择启用本地发布,我们强烈建议您限制对代码签名证书的私钥的访问,并将更新服务器配置为使用 SSL 进行所有通信。

    基本上,如果 Windows 更新客户端接受具有任何有效证书的包,则客户端将容易受到针对 WSUS 服务器或 Windows 更新本身的中间人攻击。默认情况下,仅接受由 Microsoft 签名的包。您需要告诉您的客户,他们还需要接受您已签名的包,您可以通过将该特定证书导入到 Trusted Publishers 存储中来做到这一点。

    请注意,在企业 PKI 场景中,根证书通常会通过组策略自动导出到客户端,但这只是为其提供与任何其他公认的证书颁发机构相同的信任级别。Windows 不会将您的 CA 颁发的证书与其他证书区别对待。

    • 1

相关问题