Microsoft-Sicherheitsempfehlung: Update für Mindestschlüssellänge in Zertifikaten

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2661254 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Microsoft hat eine Sicherheitsempfehlung für IT-Experten veröffentlicht. In dieser Sicherheitsempfehlung wird bekannt gegeben, dass die Verwendung von RSA-Zertifikaten, die Schlüssel verwenden, die kürzer als 1024 Bit sind, blockiert werden. Die Sicherheitsempfehlung finden Sie auf der folgenden Microsoft-Website:
http://technet.microsoft.com/de-de/security/advisory/2661254
Um das Risiko des unbefugten Offenlegens von vertraulichen Informationen zu reduzieren, hat Microsoft ein nicht sicherheitsrelevantes Update (KB 2661254) für alle unterstützten Versionen von Microsoft Windows veröffentlicht. Dieses Update blockiert kryptografische Schlüssel mit einer Länge von weniger als 1024 Bit lang. Dieses Update gilt nicht für Windows 8 Release Preview oder Windows Server 2012 Release Candidate, da diese Betriebssysteme die Funktionalität zum Blockieren der Verwendung schwacher RSA-Schlüssel mit einer Länge von weniger als 1024 Bit bereits enthalten.

Weitere Informationen

Die Stärke von auf öffentlichen Schlüsseln basierenden kryptographischen Algorithmen wird anhand der Zeit ermittelt, die benötigt wird, um den privaten Schlüssel unter Verwendung von Brute-Force-Methoden abzuleiten. Der Algorithmus wird als stark genug angesehen, wenn der Privatschlüssel mit der verfügbaren Rechenleistung innerhalb der dazu benötigten Zeit nicht abgeleitet werden kann. Die Bedrohungslage entwickelt sich ständig weiter. Microsoft härtet die Kriterien für den RSA-Algorithmus mit Schlüssellängen von weniger als 1024 Bit weiter.

Nach der Installation dieses Updates sind nur Zertifikatketten, die unter Verwendung der Funktion CertGetCertificateChain erstellt wurden, betroffen. Die CryptoAPI erstellt eine Zertifikatvertrauenskette und validiert diese Kette unter Verwendung von Zeitgültigkeit, Zertifikatsperren und -richtlinien (z. B. beabsichtigte Zwecke). Das Update implementiert eine zusätzliche Prüfung, um sicherzustellen, dass kein Zertifikat in der Kette einen RSA-Schlüssel mit einer Länge von weniger als 1024 Bit enthält.

Ersetzte Sicherheitsupdates

Dieses Sicherheitsupdate ersetzt das folgende Sicherheitsupdate:
2677070 Für Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 ist ein automatisches Update für widerrufene Zertifikate verfügbar.

Bekannte Probleme in Verbindung mit dem Sicherheitsupdate

Nach der Installation des Updates:
  • Es ist ein Neustart erforderlich.
  • Eine Zertifizierungsstelle (CA) kann keine RSA-Zertifikate ausstellen, die eine Schlüssellänge von weniger als 1024 Bit haben.
  • Der CA-Dienst (certsvc) kann nicht gestartet werden, wenn die CA ein RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit verwendet.
  • Internet Explorer lässt den Zugriff auf eine Website nicht zu, die unter Verwendung eines RSA-Zertifikats mit einer Schlüssellänge von weniger als 1024 Bit gesichert wurde.
  • Outlook 2010 kann nicht zum Verschlüsseln von E-Mail verwendet werden, wenn es ein RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit verwendet. E-Mail, die bereits unter Verwendung eines RSA-Zertifikats mit einer Schlüssellänge von weniger als 1024 Bit verschlüsselt wurde, kann jedoch nach der Installation des Updates entschlüsselt werden.
  • Outlook 2010 kann nicht zum digitalen Signieren von E-Mail verwendet werden, wenn es ein RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit verwendet.
  • Wenn E-Mail in Outlook 2010 eingeht, die eine digitale Signatur hat oder mit einem RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit verschlüsselt wurde, wird dem Benutzer ein Fehler angezeigt, der besagt, dass das Zertifikat nicht vertrauenswürdig ist. Der Benutzer kann die verschlüsselte oder signierte e-Mail jedoch weiterhin anzeigen.
  • Outlook 2010 kann keine Verbindung zu einem Microsoft Exchange-Server herstellen, der ein RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit für SSL/TSL verwendet. Der folgende Fehler wird angezeigt: Informationen, die Sie mit dieser Site austauschen, können von anderen weder angesehen noch verändert werden. Das Sicherheitszertifikat der Site ist jedoch fehlerhaft. Das Sicherheitszertifikat ist ungültig. Diese Website sollte als nicht vertrauenswürdig eingestuft werden".
  • Sicherheitswarnungen des Typs "Unbekannter Herausgeber" werden angezeigt, die Installation kann jedoch in den folgenden Fällen fortgesetzt werden:
    • Authenticode-Signaturen, die einen Zeitstempel vom 01. Januar 2010 oder von einem späteren Datum haben, und die mit einem RSA-Zertifikat signiert wurden, das eine Schlüssellänge von weniger als 1024 Bit haben, sind vorhanden.
    • Signierte Installationsprogramme, die mit einem RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit signiert wurden.
    • ActiveX-Steuerelemente, die mit einem RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit signiert wurden. ActiveX-Steuerelemente, die bereits installiert waren, bevor Sie dieses Update installieren, sind nicht betroffen.
  • System Center HP-UX PA-RISC-Computer, die ein RSA-Zertifikat mit einer Schlüssellänge von 512 Bit generieren Taktsignalwarnungen, und die gesamte Operations Manager-Überwachung des Computers schlägt fehl. Es wird zudem ein "SSL-Zertifikat-Fehler" mit der Beschreibung "signierte Zertifikatüberprüfung" generiert. Operations Manager erkennt zudem aufgrund des Fehlers "signierte Zertifikatüberprüfung" keine neuen HP-UX PA-RISC-Computer. System Center-Kunden, die HP-UX PA-RISC-Computer verwenden, sollten RSA-Zertifikate erneut mit einer Schlüssellänge von mindestens 1024 Bit ausgeben. Weitere Informationen finden Sie auf der folgenden TechNet-Webseite:
    WICHTIG: Auf HP-UX PA-RISC-Computern, die von Operations Manager überwacht werden, treten nach einem Windows-Update Taktsignal- und Überwachungsfehler auf
Hinweis Die EFS-Verschlüsselung ist von diesem Update nicht betroffen.

Erkennung von RSA-Zertifikaten mit Schlüssellängen von weniger als 1024 Bit

Es gibt vier Hauptmethoden, um zu erkennen, ob RSA-Zertifikate mit Schlüssellängen von weniger als 1024 Bit verwendet werden:
  • Manuelles Überprüfen von Zertifikaten und Zertifizierungspfaden
  • Verwenden der CAPI2-Protokollierung
  • Überprüfen von Zertifikatvorlagen
  • Aktivieren der Protokollierung auf Computern, auf denen das Update installiert ist

Manuelles Überprüfen von Zertifikaten und Zertifizierungspfaden

Sie können Zertifikate manuell überprüfen, indem Sie sie öffnen und ihren Typ, ihre Schlüssellänge und den Zertifizierungspfad anzeigen. Sie können hierzu intern ausgestellte Zertifikate (normalerweise durch Doppelklicken) anzeigen. Klicken Sie auf der Registerkarte Zertifizierungspfad für jedes Zertifikat in der Kette auf Zertifikat anzeigen, und stellen Sie sicher, dass alle RSA-Zertifikate Schlüssellängen von mindestens 1024 Bit verwenden.

Das Zertifikat in der folgenden Abbildung wurde beispielsweise von einer Stammzertifizierungsstelle eines Unternehmens namens "AdatumRootCA" für einen Domänencontroller (2003DC.adatum.com) ausgegeben. Sie können das Zertifikat "AdatumRootCA" auf der Registerkarte Zertifizierungspfad wählen.

Bild minimierenBild vergrößern
2796198


Um das Zertifikat "AdatumRootCA" anzuzeigen, klicken Sie auf Zertifikat anzeigen. Wählen Sie im Bereich Details die Option Öffentlicher Schlüssel, um die Schlüsselgröße wie in der folgenden Abbildung dargestellt anzuzeigen.

Bild minimierenBild vergrößern
2796199


Das RSA-Zertifikat für "AdatumRootCA" in diesem Beispiel hat eine Länge von 2048 Bit.

Verwenden der CAPI2-Protokollierung

Auf Computern, auf denen Windows Vista, Windows Server 2008 oder eine spätere Version von Windows ausgeführt wird, können Sie die CAPI2-Protokollierung verwenden, um Schlüssel mit einer Länge von weniger als 1024 Bit zu identifizieren. Anschließend können Sie die Computer ihre normalen Betrieb ausführen lassen und das Protokoll später überprüfen, um Schlüssel mit einer Länge von weniger als 1024 Bit zu identifizieren. Sie können diese Informationen dann verwenden, um die Quellen der Zertifikate zu ermitteln und die erforderlichen Updates vorzunehmen.

Zu diesem Zweck müssen Sie zuerst die ausführlichen Diagnoseprotokollierung aktivieren. Gehen Sie folgendermaßen vor, um den ausführlichen Protokollierungsmodus zu aktivieren:

1. Starten Sie den Registrierungs-Editor (Regedit.exe).

2. Wechseln Sie zu folgendem Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Fügen Sie einen DWORD-Wert (32-Bit) DiagLevel mit dem Wert von 0x00000005 hinzu.

4. Fügen Sie einen DWORD-Wert (64-Bit) DiagMatchAnyMask mit dem Wert von 0x00ffffff hinzu.

Bild minimierenBild vergrößern
2796200


Anschließend können Sie die CAPI2-Betriebsprotokollierung in der Ereignisanzeige aktivieren. Das CAPI2-Betriebsprotokoll befindet sich in der Ereignisanzeige unter Anwendungen und Dienstprotokolle, Microsoft, Windows und CAPI2 in Event Viewer. Klicken Sie zum Aktivieren der Protokollierung mit der rechten Maustaste auf das Protokoll Operational, klicken Sie auf Protokoll aktivieren und dann auf Aktuelles Protokoll filtern. Klicken Sie auf die Registerkarte XML, und aktivieren Sie dann das Kontrollkästchen Manuell bearbeiten.
Bild minimierenBild vergrößern
2796201


Wenn Sie das Protokoll erfasst haben, können Sie den folgenden Filter verwenden, um die Anzahl der Einträge zu reduzieren, die Sie durchsuchen müssen, um Zertifikatvorgänge mit Schlüsseln mit einer Länge von weniger als 1024 Bit zu finden. Der folgende Filter sucht nach Schlüsseln mit einer Länge von 512 Bit.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select

</Query>

</QueryList>

Bild minimierenBild vergrößern
2796202


Sie können mit einer einzelnen Abfrage auch mehrere Schlüssellängen abfragen. Der folgende Filter fragt beispielsweise nach 384-Bit- und 512-Bit-Schlüsseln ab.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select

</Query>

</QueryList>

Überprüfen von Zeichnungsvorlagen

Sie können die folgende Abfrage für Ihre Zertifizierungsstellen (CAs) ausführen, um Zertifikatvorlagen zu identifizieren, die Schlüssel mit einer Länge von weniger als 1024 Bit verwenden:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Hinweis Sie sollten den Befehl in allen Gesamtstrukturen in Ihrer Organisation ausführen.

Wenn Sie diese Abfrage ausführen, werden Vorlagen, die Schlüssel mit einer Länge von weniger als 1024 Bit zusammen mit ihrer Schlüssellänge angezeigt. Die folgende Abbildung zeigt, dass zwei der integrierten Vorlagen, "SmartcardLogon" und "SmartcardUser" standardmäßige Schlüssellängen haben, die die Schlüsselmindestlänge von 512 Bit aufweisen. Sie können auch andere Vorlagen identifizieren, die mit minimalen Schlüssellängen von weniger als 1024 Bit dupliziert wurden.

Sie sollten für jede Vorlage, die Sie identifizieren und die Schlüssel mit einer Länge von weniger als 1024 Bit verwendet, ermitteln, ob es möglich ist, Zertifikate wie im Abschnitt Zertifikatvorlagen der Konsole der Zertifizierungsstelle angezeigt auszugeben.

Bild minimierenBild vergrößern
2796203


Aktivieren der Protokollierung auf Computern, auf denen das Update installiert ist

Sie können Registrierungseinstellungen verwenden, um Computern, auf denen das Update installiert ist, zu ermöglichen, RSA-Zertifikate mit einer Schlüssellänge von weniger als 1024 Bit zu suchen. Die Option für die Implementierung der Protokollierung ist im Abschnitt "Lösungen" beschrieben, da sie eng mit den Registrierungseinstellungen in Zusammenhang steht, die verwendet werden können, um Schlüssellängen von weniger als 1024 Bit zuzulassen. Weitere Informationen zum Aktivieren der Protokollierung finden Sie im Abschnitt "Zulassen von Schlüssellängen von weniger als 1024 Bits mithilfe von Registrierungseinstellungen" weiter unten in diesem Artikel.

Lösungen

Die primäre Lösung für Probleme, die mit dem Blockieren von Zertifikaten mit einer Schlüssellänge von weniger als 1024 Bit in Zusammenhang stehen, ist das Implementieren eines größeren Zertifikats (Schlüssellänge 1024 Bit oder länger). Es wird empfohlen, dass Benutzer Zertifikate implementieren, die eine Schlüssellänge von mindestens 2048 Bits aufweisen.

Erhöhen der Schlüsselgröße für Zertifikate, die über Zertifikat-Autoregistrierung ausgegeben wurden

Für Vorlagen, die RSA-Zertifikate mit Schlüssellängen von weniger als 1024 Bit ausgegeben haben, sollten Sie die Schlüsselmindestgröße auf eine Einstellung von mindestens 1024 Bit erhöhen. Dies setzt voraus, dass die Geräte, für die diese Zertifikate ausgegeben wurden, längere Schlüssel unterstützen.

Wenn Sie die Schlüsselmindestgröße erhöht haben, verwenden Sie die Option Alle Zertifikatinhaber erneut registrieren in der Zertifikatvorlagenkonsole, damit die Clientcomputer erneut registrieren und eine größere Schlüsselgröße anfordern.

Bild minimierenBild vergrößern
2796204


Wenn Sie Zertifikate unter Verwendung der integrierten Smartcard-Anmeldung oder Smartcard-Benutzervorlagen ausgegeben haben, können Sie die Schlüsselmindestgröße der Vorlage nicht direkt anpassen. Sie müssen die Vorlage stattdessen duplizieren, die Schlüsselgröße der duplizierten Vorlage erhöhen und die ursprüngliche Vorlage durch die duplizierte Vorlage ersetzen.

Bild minimierenBild vergrößern
2796205


Wenn Sie eine Vorlage ersetzt haben, verwenden Sie die Option Alle Zertifikatinhaber erneut registrieren, damit die Clientcomputer erneut registrieren und eine größere Schlüsselgröße anfordern.

Bild minimierenBild vergrößern
2796206


Zulassen von Schlüssellängen von weniger als 1024 Bits mithilfe von Registrierungseinstellungen

Es wird nicht empfohlen, Zertifikate mit einer Länge von weniger als 1024 Bit zu verwenden. Kunden benötigen jedoch möglicherweise eine temporäre Abhilfe, während eine längerfristige Lösung entwickelt wird, um RSA-Zertifikate mit einer Schlüssellänge von weniger als 1024 Bit zu ersetzen. In diesen Fällen Microsoft bietet den Kunden die Möglichkeit, die Funktionsweise des Updates zu ändern. Kunden, die diese Einstellungen konfigurieren, akzeptieren das Risiko, dass ein Angreifer ihre Zertifikate aufbrechen und sie verwenden, um Inhalte vorzutäuschen, Phishingangriffe oder Man-in-the-Middle-Angriffe auszuführen.

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows
Auf Windows 8- oder Windows Server 2012-basierten Computern, auf denen das Update installiert ist, können der folgenden Registrierungspfad bzw. -einstellungen verwendet werden, um die Erkennung und Blockierung von RSA-Zertifikaten mit einer Schlüssellänge von weniger als 1024 Bit zu steuern.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Es gibt vier Hauptwerte, die steuern, wie die Blockierung von Schlüsseln mit einer Länge von weniger als 1024 Bit funktioniert. Dabei handelt es sich um Folgende:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
In den folgenden Abschnitten wird jeder dieser Werte, und was sie steuern, erläutert.

Für Betriebssysteme ab Windows Vista und Windows Server 2008 können Sie certutil-Befehle zum Ändern dieser Registrierungseinstellungen verwenden. Unter Windows XP, Windows Server 2003 und Windows Server 2003 R2 können Sie certutil-Befehle nicht zum Ändern dieser Registrierungseinstellungen verwenden. Sie können jedoch den Sie Registrierungs-Editor, den Reg-Befehl oder die REG-Datei verwenden.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength ist ein DWORD-Wert, der die zulässige RSA-Schlüsselmindestlänge definiert. Dieser Wert ist standardmäßig nicht vorhanden, und die zulässige RSA-Schlüsselmindestlänge beträgt 1024. Sie können "certutil" verwenden, um diesen Wert auf 512 zu setzen, indem Sie den folgenden Befehl ausführen:

certutil -setreg chain\minRSAPubKeyBitLength 512

HinweisAlle in diesem Artikel angezeigten certutil-Befehle erfordern lokale Administratorrechte, da sie die Registrierung ändern. Sie können die Meldung "Der CertSvc-Dienst muss möglicherweise neu gestartet werden, damit die Änderungen wirksam werden" ignorieren. Das ist für diese Befehle nicht erforderlich, da sie sich nicht auf den Zertifikatdienst (CertSvc) auswirken.

Sie können das Blockieren von Schlüsseln mit einer Länge von weniger als 1024 Bit wiederherstellen, indem Sie den Wert entfernen. Führen Sie hierzu den folgenden certutil-Befehl aus:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Der DWORD-Wert EnableWeakSignatureFlags hat vier mögliche Werte: 2, 4, 6 und 8. Diese Einstellungen ändern das Verhalten, wie die Erkennung von Schlüsseln mit weniger als 1024 Bit und deren Blockierung funktioniert. Diese Einstellungen sind in der folgenden Tabelle aufgeführt:
Tabelle minimierenTabelle vergrößern
DezimalwertBeschreibung
2Wenn aktiviert, darf das Stammzertifikat (während der Kettenbildung) ein RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit haben. Das Blockieren von RSA-Zertifikaten weiter unten in der Kette (wenn sie weniger als 1024-Bit-Schlüssel haben) ist weiterhin in Kraft. Das aktivierte Flag, wenn dieser Wert gesetzt ist, lautet CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Aktiviert die Protokollierung, erzwingt jedoch dennoch die Blockierung von RSA-Zertifikaten mit einer Schlüssellänge von weniger als 1024 Bit. Wenn aktiviert, ist "WeakSignatureLogDir" erforderlich. Alle Schlüssel mit einer Länge von weniger als 1024 Bit werden in den physischen Ordner "WeakSignatureLogDir" kopiert. Das aktivierte Flag, wenn dieser Wert gesetzt ist, lautet CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Wenn aktiviert, darf das Stammzertifikat ein RSA-Zertifikat mit einer Schlüssellänge von weniger als 1024 Bit haben, und "WeakSignatureLogDir" ist erforderlich. Alle Schlüssel unter dem Stammzertifikat, die eine Schlüssellänge von weniger als 1024 Bit haben, werden blockiert und in dem Ordner protokolliert, der als "WeakSignatureLogDir" angegeben ist.
8Aktiviert die Protokollierung und erzwingt die Blockierung von Schlüsseln mit einer Länge von weniger als 1024 Bit nicht. Wenn aktiviert, ist "WeakSignatureLogDir" erforderlich. Alle gefundenen Schlüssel mit einer Länge von weniger als 1024 Bit werden in den physischen Ordner "WeakSignatureLogDir" kopiert. Das aktivierte Flag, wenn dieser Wert gesetzt ist, lautet CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Beispiele

Um ein RSA-Stammzertifikat mit einer Schlüssellänge von weniger als 1024 Bit zu aktivieren, verwenden Sie den folgenden certutil-Befehl:

certutil -setreg chain\EnableWeakSignatureFlags 2

Um die Protokollierung zu aktivieren, während Zertifikate mit einer Schlüssellänge von weniger als 1024 Bit weiterhin blockiert werden, verwenden Sie den folgenden certutil-Befehl:

certutil -setreg chain\EnableWeakSignatureFlags 4

Um die Protokollierung nur für RSA-Zertifikate unter dem Stammzertifikat zu aktivieren, die eine Schlüssellänge von weniger als 1024 Bit haben, verwenden Sie den folgenden certutil-Befehl:

certutil -setreg chain\EnableWeakSignatureFlags 6

Um nur die Protokollierung zu aktivieren und Schlüssellängen von weniger als 1024 Bit nicht zu blockieren, verwenden Sie den folgenden certutil-Befehl:

certutil -setreg chain\EnableWeakSignatureFlags 8

Hinweis Wenn Sie die Protokollierung aktivieren (Dezimaleinstellung 4, 6 oder 8), müssen Sie, wie im nächsten Abschnitt beschrieben, auf ein Protokollverzeichnis konfigurieren.

WeakSignatureLogDir

Wenn dies definiert ist, werden Zertifikate mit einer Schlüssellänge von weniger als 1024 Bit in den angegebenen Ordner geschrieben. Beispiel: "C:\Under1024KeyLog" könnten die Daten für diesen Wert sein. Diese Option ist erforderlich, wenn "EnableWeakSignatureFlags" auf 4 oder 8 gesetzt ist. Stellen Sie sicher, dass Sie die Sicherheit für den angegebenen Ordner so konfigurieren, dass sowohl Authentifizierte Benutzer als auch die lokale Gruppe Alle Anwendungspakete Änderungszugriff haben. Um diesen Wert für "C:\Under1024KeyLog" festzulegen, können Sie den folgenden Certutil-Befehl verwenden:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Sie können auch "WeakSignatureLogDir" für das Schreiben in einen freigegebenen Netzwerkordner konfigurieren. Stellen Sie sicher, dass Sie für den Netzwerkspeicherort die entsprechenden Berechtigungen konfiguriert haben, sodass alle konfigurierten Benutzer in den freigegebenen Ordner schreiben können. Der folgende Befehl ist ein Beispiel für das Konfigurieren von "WeakSignatureLogDir" für das Schreiben in einen Ordner namens Schlüssel, der sich in einem freigegebenen Netzwerkordner namens RSA auf Server1 befindet:

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

"WeakRsaPubKeyTime" ist ein 8-Byte-REG_BINARY-Wert, der einen Windows-Dateityp "FILETIME" enthält, der als "UTC/GMT" gespeichert ist. Dieser Wert ist primär verfügbar, um potenzielle Probleme zu reduzieren, die durch das Blockieren von Schlüsseln von weniger als 1024 Bit für Authenticode-Signaturen verursacht werden. Zertifikate, die verwendet werden, um Code vor der konfigurierten Zeit und dem konfigurierten Datum zu signieren, werden nicht auf Schlüssel mit einer Länge von weniger als 1024 Bit überprüft. Standardmäßig ist dieser Registrierungswert nicht vorhanden und wird als "early morning January 1, 2010 at midnight UTC/GMT" behandelt.

HinweisDiese Einstellung gilt nur, wenn ein Zertifikat verwendet wurde, um eine zeitgestempelte Datei mit Authenticode zu signieren. Wenn der Code nicht mit einem Zeitstempel versehen ist, wird die aktuelle Uhrzeit verwendet, und "WeakRsaPubKeyTime" wird nicht verwendet.

Mit der Einstellung "WeakRsaPubKeyTime" kann das Datum konfiguriert werden, ab dem ältere Signaturen als gültig betrachtet werden. Wenn Sie einen Grund habe, ein anderes Datum und eine andere Uhrzeit für "WeakRsaPubKeyTime" festzulegen, können Sie hierzu einen certutil-Befehl verwenden. Wenn Sie beispielsweise das Datum auf "August 29, 2010" festlegen möchten, könnten Sie den folgenden Befehl verwenden:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

Wenn Sie eine bestimmte Uhrzeit festlegen müssen, z. B. "6:00 PM" am 04. Juli 2011, dann fügen Sie dem Befehl die Anzahl der Tage und Stunden im Format +[dd:hh] hinzu. Da "6:00 PM" 18 Stunden nach Mitternacht am 04. Juli 2011 ist, müssten Sie den folgenden Befehl ausführen:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

Konfigurieren von Zertifikaten in Internet Information Services (IIS)

Wenn Sie IIS-Kunde sind, der neue Zertifikate ausgeben muss, die 1024 Bit oder länger sind, finden Sie weitere Informationen in den folgenden Artikeln:  
Einreichten von SSL in IIS 7
SSL und Zertifikate in IIS 6

Lösung

Die folgenden Dateien stehen im Microsoft Download Center zum Download zur Verfügung:


Alle unterstützten x86-basierten Versionen von Windows XP

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Alle unterstützten x64-basierten Versionen von Windows XP Professional x64 Edition

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Alle unterstützten x86-basierten Versionen von Windows Server 2003

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x64-basierten Versionen von Windows Server 2003

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Alle unterstützten IA-64-basierten Versionen von Windows Server 2003

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x86-basierten Versionen von Windows Vista

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x64-basierten Versionen von Windows Vista

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x86-basierten Versionen von Windows Server 2008

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x64-basierten Versionen von Windows Server 2008

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Alle unterstützten IA-64-basierten Versionen von Windows Server 2008

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Alle unterstützten x86-basierten Versionen von Windows 7

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x64-Versionen von Windows 7

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x64-basierten Versionen von Windows Server 2008 R2

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Alle unterstützten IA-64-basierten Versionen von Windows Server 2008 R2

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x86-basierten Versionen von Windows Embedded Standard 7

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Für alle unterstützten x64-basierten Versionen von Windows Embedded Standard 7

Bild minimierenBild vergrößern
Download
Paket jetzt herunterladen

Veröffentlichungsdatum: Dienstag, 14. August 2012

Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

DATEIINFORMATIONEN

Eine Liste der in diesem Paketen bereitgestellter Dateien finden Sie unter folgendem Link:
Dateiattributtabellen für Sicherheitsupdate 2661254.csv

Eigenschaften

Artikel-ID: 2661254 - Geändert am: Mittwoch, 26. Dezember 2012 - Version: 7.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows 7 Service Pack 1, wenn verwendet mit:
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Home Basic
  • Microsoft Windows Server 2003 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, wenn verwendet mit:
    • Microsoft Windows XP Professional
Keywords: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability KB2661254
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com