Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, GPO kullanılarak dağıtılan geçerli kök CA sertifikalarının güvenilmeyen olarak görünmesi sorunu için geçici bir çözüm sağlanır.
Özgün KB numarası: 4560600
Belirtiler
Önemli
Güvenilmeyen kök Sertifika Yetkilisi (CA) sertifika sorunları çok sayıda PKI yapılandırma sorunundan kaynaklanabilir. Bu makalede güvenilmeyen kök CA sertifikasının olası nedenlerinden yalnızca biri gösterilmektedir.
Sertifikalar ve Ortak Anahtar Altyapısı (PKI) kullanan çeşitli uygulamalar, günde bir veya iki kez bağlantı hataları gibi aralıklı sorunlarla karşılaşabilir. Bu sorunlar, son varlık sertifikasının doğrulanamadığından oluşur. Etkilenen uygulamalar farklı bağlantı hataları döndürebilir, ancak hepsinin ortak güvenilmeyen kök sertifika hataları olacaktır. Aşağıda böyle bir hata örneği verilmiştir:
| Onaltılık | Ondalık | Simgesel | Metin sürümü |
|---|---|---|---|
| 0x800b0109 | -2146762487 | (CERT_E_UNTRUSTEDROOT) | Sertifika zinciri işlendi, ancak kök sertifikada sonlandırıldı |
CryptoAPI Sistem Mimarisi kullanan PKI özellikli tüm uygulamalar, aralıklı bağlantı kaybından veya PKI/Sertifikaya bağımlı işlevsellikteki bir hatadan etkilenebilir. Nisan 2020 itibarıyla, bu sorundan etkilendiği bilinen uygulamaların listesi şunları içerir ancak bunlarla sınırlı değildir:
- Citrix
- Uzak Masaüstü Hizmeti (RDS)
- Skype
- Web tarayıcıları
Yöneticiler, CAPI2 Günlüğünü inceleyerek güvenilmeyen kök CA sertifikası sorunlarını belirleyebilir ve giderebilir.
Aşağıdaki imzaları içeren CAPI2 günlüğünde sorun giderme çalışmalarınızı Derleme Zinciri/Zincir İlkesini Doğrulama hatalarına odaklanın. Örneğin:
DateTime> CAPI2 11 Derleme Zinciri Hatası <
DateTime> CAPI2 30 Zincir İlkesini Doğrulama Hatası <Sonuç Sertifika zinciri işlendi, ancak güven sağlayıcısı tarafından güvenilmeyen bir kök sertifikada sonlandırıldı.
[değer] 800b0109
Neden
Kök CA sertifikası aşağıdaki Grup İlkesi (GP) kullanılarak dağıtılırsa güvenilmeyen kök CA sertifikası sorunları oluşabilir:
Bilgisayar Yapılandırması>Windows Ayarları>Güvenlik Ayarları>Ortak Anahtar İlkeleri>Güvenilen Kök Sertifika Yetkilileri
Kök neden ayrıntıları
Kök CA sertifikası GPO kullanılarak dağıtılırken içeriği HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates silinir ve yeniden yazılır. Bu silme işlemi, GP'nin kayıt defteri değişikliklerini nasıl uyguladığından tasarım gereğidir.
Windows kayıt defterinin kök CA sertifikaları için ayrılmış alanında yapılan değişiklikler, istemci uygulamasının Şifreleme API'sini bilgilendirir. Uygulama kayıt defteri değişiklikleriyle eşitlemeye başlar. Eşitleme, uygulamaların güncel tutulması ve geçerli kök CA sertifikalarının en güncel listesinden haberdar edilmesidir.
Bazı senaryolarda Grup İlkesi işlemesi daha uzun sürer. Örneğin, birçok kök CA sertifikası GPO aracılığıyla dağıtılır (birçok Güvenlik Duvarı veya Applocker ilkeye benzer). Bu senaryolarda uygulama, güvenilen kök CA sertifikalarının tam listesini alamayabilir.
Bu nedenle, eksik kök CA sertifikalarına zincirleyen son varlık sertifikaları güvenilmeyen olarak işlenir. Sertifikayla ilgili çeşitli sorunlar oluşmaya başlar. Bu sorun aralıklı olarak oluşur ve GPO işleme veya yeniden başlatma yeniden başlatılarak geçici olarak çözülebilir.
Kök CA sertifikası alternatif yöntemler kullanılarak yayımlanırsa, yukarıda belirtilen durumdan dolayı sorunlar oluşmayabilir.
Geçici çözüm
Microsoft bu sorunun farkındadır ve Windows'un gelecekteki bir sürümünde sertifika ve Şifreleme API'si deneyimini geliştirmek için çalışmaktadır.
Bu sorunu gidermek için kök CA sertifikasını GPO kullanarak dağıtmaktan kaçının. Kök CA sertifikasını istemciye teslim etmek için kayıt defteri konumunu (örneğin HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates) hedeflemeyi içerebilir.
Kök CA sertifikasını farklı, fiziksel, kök CA sertifika deposunda depolarken sorun çözülmelidir.
Kök CA sertifikalarını yayımlamak için alternatif yöntemlere örnekler
Yöntem 1: Komut satırı aracını certutil kullanın ve rootca.cer dosyasında depolanan CA sertifikasının kökünü oluşturun:
certutil -addstore root c:\tmp\rootca.cer
Not
Bu komut yalnızca yerel yöneticiler tarafından yürütülebilir ve yalnızca tek bir makineyi etkiler.
Yöntem 2: certlm.msc'yi (yerel makine için sertifika yönetim konsolu) başlatın ve kök CA sertifikasını Kayıt Defteri fiziksel deposunda içeri aktarın.
Not
certlm.msc konsolu yalnızca yerel yöneticiler tarafından başlatılabilir. Ayrıca içeri aktarma işlemi yalnızca tek bir makineyi etkiler.
Yöntem 3: Grup İlkesi Tercihleri'nde açıklandığı gibi kök CA sertifikasını yayımlamak için GPO tercihlerini kullanın
Kök CA sertifikasını yayımlamak için şu adımları izleyin:
komutunu kullanarak bir makinedeki kök sertifikayı el ile içeri aktarın
certutil -addstore root c:\tmp\rootca.cer(bkz. Yöntem 1).Kök sertifikayı içeri aktardığınız makinede GPMC.msc dosyasını açın.
Kayıt defteri ayarlarını dağıtmak için kullanmak istediğiniz GPO'yi aşağıdaki şekilde düzenleyin:
- Bilgisayar Yapılandırma > Grup İlkesi Tercihleri > Windows Ayarları > Kayıt Defteri > yolunu kök sertifikaya düzenleyin.
- Aşağıdaki ekran görüntüsünde gösterildiği gibi kök sertifikayı GPO'ya ekleyin.
Yeni GPO'yu kök sertifikanın yayımlanması gereken makinelere dağıtın.
Kök CA sertifikalarını konuma HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates yazarak dağıtan diğer herhangi bir yöntem, araç veya istemci yönetim çözümü çalışır.