Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una soluzione alternativa per un problema a causa del quale i certificati CA radice validi distribuiti tramite l'oggetto Criteri di gruppo vengono visualizzati come non attendibili.
Numero KB originale: 4560600
Sintomi
Importante
I problemi relativi ai certificati dell'autorità di certificazione radice (CA) non attendibili possono essere causati da numerosi problemi di configurazione PKI. Questo articolo illustra solo una delle possibili cause del certificato CA radice non attendibile.
Diverse applicazioni che usano certificati e infrastruttura a chiave pubblica (PKI) potrebbero riscontrare problemi intermittenti, ad esempio errori di connettività, una o due volte al giorno alla settimana. Questi problemi si verificano a causa della verifica non riuscita del certificato dell'entità finale. Le applicazioni interessate potrebbero restituire errori di connettività diversi, ma tutti avranno errori di certificato radice non attendibili in comune. Di seguito è riportato un esempio di errore di questo tipo:
| Hex | Decimale | Simbolico | Versione del testo |
|---|---|---|---|
| 0x800b0109 | -2146762487 | (CERT_E_UNTRUSTEDROOT) | Catena di certificati elaborata, ma terminata in un certificato radice |
Qualsiasi applicazione abilitata per l'infrastruttura a chiave pubblica che usa l'architettura del sistema CryptoAPI può essere interessata da una perdita intermittente di connettività o da un errore nella funzionalità dipendente da PKI/Certificato. A partire da aprile 2020, l'elenco delle applicazioni note per essere interessato da questo problema include, ma probabilmente non sono limitati a:
- Citrix
- Servizio Desktop remoto
- Skype
- Web Browser
Gli amministratori possono identificare e risolvere i problemi relativi ai certificati CA radice non attendibili esaminando il log CAPI2.
Concentrarsi sulle attività di risoluzione dei problemi relativi agli errori di catena di compilazione/verifica dei criteri di catena all'interno del log CAPI2 contenente le firme seguenti. Ad esempio:
Errore <DateTime> CAPI2 11 Build Chain
Errore <DateTime> CAPI2 30 Verify Chain PolicyRisultato Una catena di certificati elaborata, ma terminata in un certificato radice non considerato attendibile dal provider di attendibilità.
[value] 800b0109
Causa
Se il certificato CA radice radice è distribuito usando i criteri di gruppo seguenti, potrebbero verificarsi problemi di certificato CA radice:
Configurazione>computer Impostazioni di Windows Impostazioni>di sicurezza Criteri>chiave>pubblica Autorità di certificazione radice attendibili
Dettagli della causa radice
Quando si distribuisce il certificato CA radice usando l'oggetto Criteri di gruppo, il contenuto di HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates verrà eliminato e scritto di nuovo. Questa eliminazione è per impostazione predefinita, perché è il modo in cui l'oggetto Criteri di gruppo applica le modifiche del Registro di sistema.
Le modifiche nell'area del Registro di sistema di Windows riservate per i certificati CA radice riceveranno una notifica al componente API Crypto dell'applicazione client. E l'applicazione inizierà la sincronizzazione con le modifiche del Registro di sistema. La sincronizzazione è il modo in cui le applicazioni vengono mantenute aggiornate e rese consapevoli dell'elenco più recente di certificati CA radice validi.
In alcuni scenari, l'elaborazione di Criteri di gruppo richiederà più tempo. Ad esempio, molti certificati CA radice vengono distribuiti tramite oggetti Criteri di gruppo (simili a molti firewall o Applocker criteri). In questi scenari, l'applicazione potrebbe non ricevere l'elenco completo dei certificati CA radice attendibili.
Per questo motivo, il rendering dei certificati dell'entità finale concatenati a quelli mancanti della CA radice verrà eseguito come non attendibile. E inizieranno a verificarsi vari problemi correlati al certificato. Questo problema è intermittente e può essere temporaneamente risolto riprovando l'elaborazione o il riavvio degli oggetti Criteri di gruppo.
Se il certificato CA radice viene pubblicato usando metodi alternativi, i problemi potrebbero non verificarsi a causa della situazione già menzionata.
Soluzione alternativa
Microsoft è a conoscenza di questo problema e sta lavorando per migliorare l'esperienza del certificato e dell'API Crypto in una versione futura di Windows.
Per risolvere questo problema, evitare di distribuire il certificato CA radice usando l'oggetto Criteri di gruppo. Può includere la destinazione del percorso del Registro di sistema ( ad esempio HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates) per distribuire il certificato CA radice al client.
Quando si archivia il certificato CA radice in un archivio certificati CA radice diverso, fisico e radice, il problema deve essere risolto.
Esempi di metodi alternativi per la pubblicazione di certificati CA radice
Metodo 1: usare lo strumento certutil da riga di comando e radice il certificato della CA archiviato nel file rootca.cer:
certutil -addstore root c:\tmp\rootca.cer
Note
Questo comando può essere eseguito solo dagli amministratori locali e avrà effetto solo su un singolo computer.
Metodo 2: avviare certlm.msc (console di gestione certificati per computer locale) e importare il certificato CA radice nell'archivio fisico del Registro di sistema.
Note
La console certlm.msc può essere avviata solo dagli amministratori locali. Inoltre, l'importazione avrà effetto solo sul singolo computer.
Metodo 3: Usare le preferenze dell'oggetto Criteri di gruppo per pubblicare il certificato CA radice come descritto in Preferenze di Criteri di gruppo
Per pubblicare il certificato CA radice, seguire questa procedura:
Importare manualmente il certificato radice in un computer usando il
certutil -addstore root c:\tmp\rootca.cercomando (vedere Metodo 1).Aprire GPMC.msc nel computer in cui è stato importato il certificato radice.
Modificare l'oggetto Criteri di gruppo che si vuole usare per distribuire le impostazioni del Registro di sistema nel modo seguente:
- Modificare il percorso del Registro di sistema Impostazioni di > Windows > delle preferenze > di Configurazione > computer al certificato radice.
- Aggiungere il certificato radice all'oggetto Criteri di gruppo come illustrato nello screenshot seguente.
Distribuire il nuovo oggetto Criteri di gruppo nei computer in cui deve essere pubblicato il certificato radice.
Qualsiasi altro metodo, strumento o soluzione di gestione client che distribuisce i certificati CA radice scrivendoli nella posizione HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates funzionerà.