http://support.obtain.com/knowledgebase/codesign/CRLDisable.html
禁用证书吊销列表
默认情况下,OBTAIN 服务器服务在本地系统帐户下作为 Windows 服务运行。要禁用本地系统的 CRL 检查,我们必须使用注册表进行更改。
1) 在服务器机器上,单击“开始->运行”(可能因您的操作系统而异),在“打开”框中键入“regedit”,单击“确定”
2) 导航到HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing。
3) 选择Software Publishing - 在右侧栏中,双击“State”键,将值从'0x00023c00'更改为'0x00023e00'。
必须强制检查发布者证书吊销。
https://www.stigviewer.com/stig/microsoft_dot_net_framework_4.0/2016-03-01/finding/V-7061
概述
查找 ID | 版本 | 规则 ID | IA 控制 | 严重性 |
V-46477 | DTBI018-IE11 | SV-59341r4_rule | | 低的 |
描述 |
应强制检查发布者的证书吊销选项,以确保验证所有 PKI 签名对象。 |
斯蒂格 | 日期 |
Microsoft Internet Explorer 11 安全技术实施指南 | 2017-12-12 |
细节
检查文本 (C-49687r7_chk) |
如果系统在 SIPRNet 上,则此要求为 NA。 打开 Internet Explorer。 从菜单栏中,选择“工具”。 从“工具”下拉菜单中,选择“Internet 选项”。从“Internet 选项”窗口中,选择“高级”选项卡,从“高级”选项卡窗口中,向下滚动到“安全”类别,并确认已选中“检查发布者的证书吊销”框。 过程:使用 Windows 注册表编辑器导航到以下项: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing Criteria 如果值“State”为“REG_DWORD = 23C00”,则这不是发现. |
修复文本 (F-50269r8_fix) |
如果系统在 SIPRNet 上,则此要求为 NA。 打开 Internet Explorer。 从菜单栏中,选择“工具”。 从“工具”下拉菜单中,选择“Internet 选项”。在“Internet 选项”窗口中,从“高级”选项卡窗口中选择“高级”选项卡,向下滚动到“安全”类别,然后选择“检查发布者的证书吊销”框。 注意:在注册表项中手动输入: HKCU\Software\Microsoft\Windows\Current Version\WinTrust\Trust Providers\Software Publishing 值“State”,设置为“REG_DWORD = 23C00”,可能首先需要。 |
下面我将创建一个我正在查看的示例的粗略网格:第一行将是位位置,右侧的括号中将是 State 键的等效 HEX 值
20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1
0 0 1 0 0 0 1 1 1 1 0 0 0 0 0 0 0 0 0 0 (23C00)
0 0 1 0 0 0 1 1 1 1 1 0 0 0 0 0 0 0 0 0 (23E00)
所以看上面的项目,我们看到 HEX 值 23C00 和 23E00 之间的差异是位置 10 的值从“0”变为“1”。
此值与 Internet Explorer 中的“检查发布者证书吊销”复选框相关联。值为 23C00 表示未选中此框,而值为 23E00 表示已选中。
首先,我想解释一下 Wintrust 是如何工作的。
请注意,WinTrust 是 Microsoft 信任验证服务的名称(和 DLL),它提供了一个通用 API 来确定特定主体是否可以信任。
信任验证服务由信任提供者实施。有一个内置的信任提供者:Software Publishing。软件发布信任提供程序允许调用应用程序确定软件组件是否包含将其标识为由本地用户系统上受信任的发布者发布的真实软件的数字签名。
软件发布信任提供程序使用注册表项(基于每个用户)来指定信任策略标志。策略标志被定义为WintrustGetRegPolicyFlags的枚举(您可以在此处查看详细信息:http: //msdn.microsoft.com/en-us/library/aa388197)。
WintrustGetRegPolicyFlags可以具有以下按位值组合:
旗帜 | 价值 | 意义 |
WTPF_TRUSTTEST | 0x00000020 | 信任任何测试证书。 |
WTPF_TESTCANBEVALID | 0x00000080 | 检查任何测试证书的有效性。 |
WTPF_IGNOREEXPRATION | 0x00000100 | 使用有效期。 |
WTPF_IGNOREEVOKATION | 0x00000200 | 做吊销检查。 |
WTPF_OFFLINEOK_IND | 0x00000400 | 如果源处于脱机状态,请信任任何单独的证书 |
WTPF_OFFLINEOK_COM | 0x00000800 | 如果源离线,请信任任何商业证书 |
WTPF_OFFLINEOKNBU_IND | 0x00001000 | 如果源处于脱机状态,请信任任何单独的证书。不要使用用户界面 (UI)。 |
WTPF_OFFLINEOKNBU_COM | 0x00002000 | 如果源处于脱机状态,请信任任何商业证书。不要使用检查 UI。 |
WTPF_VERIFY_V1_OFF | 0x00010000 | 关闭 1.0 版证书的验证。 |
WTPF_IGNOREREVOCATIONONTS | 0x00020000 | 忽略时间戳吊销检查。 |
WTPF_ALLOWONLYPERTRUST | 0x00040000 | 仅允许个人信任数据库中的项目。 |
例如,为了将“状态”值从“ 0x00023c00 ”更改为值“ 0x00023e00 ”,我们需要添加标志 WTPF_IGNOREREVOKATION 。此标志将为信任提供者设置策略以忽略吊销检查。