Kirjaudu sis��n

Select the product you need help with

Microsoft Security Advisory -suojausneuvo: varmenneavaimen v�himm�ispituuden p�ivitys

Artikkelin tunnus: 2661254 - N�yt� tuotteet, joita t�m� artikkeli koskee.

Microsoft on julkaissut Microsoft Security Advisory -suojausneuvon tietotekniikan asiantuntijoita varten. T�ss� suojausneuvossa ilmoitetaan, ett� alle 1 024 bitin mittaisten RSA-varmenteiden k�ytt� estet��n. Voit tarkastella suojausneuvoa seuraavassa Microsoftin WWW-sivustossa:

http://technet.microsoft.com/en-us/security/advisory/2661254

(http://technet.microsoft.com/en-us/security/advisory/2661254)

Microsoft on julkaissut muun kuin suojausp�ivityksen (KB 2661254) kaikissa tuetuissa Microsoft Windows -versioissa v�hent��kseen arkaluontoisten tietojen luvattoman k�yt�n riski�. T�m� p�ivitys est�� alle 1024 bitin pituiset salausavaimet. T�m� p�ivitys ei koske Windows 8 Release Preview'ta eik� Windows Server 2012 Release Candidatea, koska n�iss� k�ytt�j�rjestelmiss� on jo toiminnot, joilla heikkojen, alle 1 024 bitin mittaisten RSA-avainten k�ytt� estet��n.

Palaa alkuun | Anna palautetta

Enemm�n tietoa

Julkisiin avaimiin perustuvien kryptografisten algoritmien vahvuus m��r�ytyy sen mukaan, kuinka kauan yksityisen avaimen selvitt�minen kest�� j�rjestelm�llisill� menetelmill�. Algoritmin katsotaan olevan riitt�v�n vahva, kun yksityisen avaimen selvitt�minen kest�� niin kauan, ettei k�ytett�viss� oleva laskentateho riit� siihen. Uhkakuvat kehittyv�t jatkuvasti. Siksi Microsoft koventaa sellaisten RSA-algoritmien ehtoja entisest��n, joiden avainten pituudet ovat alle 1 024 bitti�.

Kun p�ivitys on otettu k�ytt��n, t�m� vaikuttaa vain CertGetCertificateChain
(http://msdn.microsoft.com/fi-fi/library/windows/desktop/aa376078.aspx)
-toiminnolla muodostettuihin varmenneketjuihin. CryptoAPI muodostaa varmenneluottamusketjun ja vahvistaa kyseisen ketjun k�ytt�m�ll� vanhentumisaikaa, varmenteiden kumousta ja varmennek�yt�nt�j� (kuten k�ytt�tarkoituksia). P�ivitys ottaa k�ytt��n lis�tarkistuksen, jolla varmistetaan, ettei mill��n ketjun varmenteista ole alle 1 024 bitin pituista RSA-avainta.

P�ivityksen korvaamistiedot

T�m� p�ivitys korvaa seuraavan p�ivityksen:

2677070

(http://support.microsoft.com/kb/2677070/fi/ )

Kumottujen varmenteiden automaattinen p�ivitystoiminto on saatavana Windows Vista-, Windows Server 2008-, Windows 7- ja Windows Server 2008 R2 -k�ytt�j�rjestelmille.

Tunnettuja t�m�n suojausp�ivityksen yhteydess� ilmenevi� ongelmia

Kun p�ivitys on asennettu j�rjestelm��n:

Uudelleenk�ynnistys on pakollinen.
Varmenteen my�nt�j� (CA) ei voi my�nt�� RSA-varmenteita, joiden avaimen pituus on alle 1 024 bitti�.
CA-palvelua (certsvc) ei voida k�ynnist��, kun CA k�ytt�� RSA-varmennetta, jonka avaimen pituus on alle 1 024 bitti�.
Internet Explorer ei salli sellaisen verkkosivuston k�ytt��, joka on suojattu alle 1 024 bitin mittaisen avaimen sis�lt�v�ll� RSA-varmenteella.
Outlook 2010:t� ei voi k�ytt�� s�hk�postin salaamiseen, jos se k�ytt�� RSA-varmennetta, jonka avaimen pituus on alle 1 024 bitti�. Alle 1 024 bitin mittaisen avaimen sis�lt�v�ll� RSA-varmenteella aiemmin salatun s�hk�postiviestin salaus voidaan kuitenkin purkaa p�ivityksen asentamisen j�lkeen.
Outlook 2010:t� ei voi k�ytt�� s�hk�postin digitaaliseen allekirjoitukseen, jos se k�ytt�� RSA-varmennetta, jonka avaimen pituus on alle 1 024 bitti�.
Kun Outlook 2010 vastaanottaa digitaalisesti allekirjoitetun tai alle 1 024 bitin mittaisen avaimen sis�lt�v�ll� RSA-varmenteella salatun s�hk�postiviestin, k�ytt�j� saa virheen, jossa ilmoitetaan, ettei varmenteeseen voida luottaa. K�ytt�j� voi edelleen tarkastella salattua tai allekirjoitettua s�hk�postiviesti�.
Outlook 2010 ei voi muodostaa Microsoft Exchange -palvelinyhteytt�, jos se k�ytt�� RSA-varmennetta, jonka SSL-/TLS-avaimen pituus on alle 1 024 bitti�. N�ytt��n tulee seuraavankaltainen virhe: "Ulkopuoliset eiv�t voi tarkastella tai muuttaa t�m�n palvelimen kanssa vaihdettuja tietoja. Sivuston suojausvarmenteessa on kuitenkin ongelmia. Suojausvarmenne on virheellinen. T�m� sivusto ei ole turvallinen."
"Tuntemattoman julkaisijan" suojausvaroitukset raportoidaan, mutta asennusta voidaan jatkaa seuraavissa tapauksissa:
- J�rjestelm� havaitsee aikaisintaan 1.1.2010 aikaleimattuja ja alle 1 024 bitin mittaisen avaimen sis�lt�v�ll� RSA-varmenteella allekirjoitettuja Authenticode-allekirjoituksia.
- Allekirjoitetut asennusohjelmat on allekirjoitettu RSA-varmenteella, jonka avaimen pituus on alle 1 024 bitti�.
- ActiveX-ohjausobjektit on allekirjoitettu RSA-varmenteella, jonka avaimen pituus on alle 1 024 bitti�. T�m�n p�ivityksen asentaminen ei vaikuta ennen p�ivityst� asennettuihin ActiveX-ohjausobjekteihin.
System Center HP-UX PA-RISC -tietokoneet, jotka k�ytt�v�t 512-bittisen avaimen sis�lt�v�� RSA-varmennetta, muodostavat Heartbeat-ilmoituksia, ja tietokoneiden Operations Manager -valvonta ep�onnistuu. My�s "SSL-varmennevirhe" ilmenee, ja sit� kuvataan sanoilla "allekirjoitetun varmenteen vahvistus". Operations Manager ei my�sk��n tunnista uusia HP-UX PA-RISC -tietokoneita "allekirjoitetun varmenteen vahvistuksessa" ilmenneen virheen vuoksi. System Center -asiakkaita, joilla on HP-UX PA-RISC -tietokoneita, kehotetaan my�nt�m��n RSA-varmenteet uudelleen siten, ett� niiden avainten pituudet ovat v�hint��n 1 024 bitti�. Lis�tietoja on seuraavalla TechNetin WWW-sivulla:
T�RKE��: Operations Managerin valvomat HP-UX PA-RISC -tietokoneet havaitsevat Heartbeat- ja valvontavikoja tulevan Windows-p�ivityksen j�lkeen
(http://blogs.technet.com/b/momteam/archive/2012/08/01/important-hp-ux-pa-risc-computers-monitored-by-operations-manager-will-experience-heartbeat-and-monitoring-failures-after-an-upcoming-windows-update.aspx)

Huomautus T�m� p�ivitys ei vaikuta EFS-salaukseen.

Sellaisten RSA-varmenteiden havaitseminen, joiden avaimen pituus on alle 1 024 bitti�

Jos k�yt�ss� on RSA-varmenteita, joiden avaimen pituus on alle 1 024 bitti�, t�m�n voi havaita nelj�ll� tavalla:

Varmenteiden ja sertifiointipolkujen tarkistaminen manuaalisesti
CAPI2-kirjauksen k�ytt�minen
Varmennemallien tarkistaminen
Kirjauksen ottaminen k�ytt��n tietokoneissa, joihin p�ivitys on asennettu

Varmenteiden ja sertifiointipolkujen tarkistaminen manuaalisesti

Voit tarkistaa varmenteet manuaalisesti avaamalla ne ja tarkastelemalla niiden tyyppi�, avaimen pituutta ja sertifiointipolkuja. Voit tehd� t�m�n tarkastelemalla (yleens� kaksoisnapsauttamalla) mit� tahansa sis�isesti my�nnetty� varmennetta. Valitse Sertifiointipolku-v�lilehdess� ketjun kunkin varmenteen kohdalla N�yt� varmenne, jotta voit varmistaa, ett� kaikissa RSA-varmenteissa k�ytet��n v�hint��n 1 024 bitin mittaisia avaimia.

Esimerkiksi seuraavassa kuvassa oleva varmenne my�nnettiin toimialueen ohjauskoneelle (2003DC.adatum.com) yrityksen varmenteiden p��my�nt�j�lt� nimelt� AdatumRootCA. Voit valita AdatumRootCA-varmenteen Sertifiointipolku-v�lilehdess�.

Kutista t�m� kuvaLaajenna t�m� kuva

Voit tarkastella AdatumRootCA-varmennetta valitsemalla N�yt� varmenne. Kun valitset Tiedot-ruudussa Julkinen avain, voit tarkastella avaimen kokoa seuraavassa kuvassa osoitetulla tavalla.

Kutista t�m� kuvaLaajenna t�m� kuva

T�ss� esimerkiss� AdatumRootCA:n RSA-varmenne on 2 048 bitti�.

CAPI2-kirjauksen k�ytt�minen

CAPI2-kirjausta voi k�ytt�� Windows Vista- ja Windows Server 2008 -tietokoneissa ja sit� uudemmissa Windows-versioissa sellaisten avainten tunnistamiseen, joiden pituus on alle 1 024 bitti�. Tietokoneiden voi sitten antaa suorittaa normaalit toimet. Lokista voi my�hemmin tarkistaa, mink� avainten pituus on alle 1 024 bitti�. N�iden tietojen avulla voi sitten paikantaa varmenteiden l�hteet ja tehd� tarvittavat p�ivitykset.�

Jos haluat tehd� t�m�n, sinun on ensin otettava selv�kielinen diagnostiikkakirjaaminen k�ytt��n. Voit ottaa selv�kielisess� tilassa teht�v�n kirjaamisen k�ytt��n seuraavasti:

1. Avaa Rekisterieditori (Regedit.exe).

2. Siirry seuraavaan rekisteriavaimeen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32

3. Lis�� DWORD-arvo (32-bittinen) DiagLevel arvolla 0x00000005.

4. Lis�� QWORD-arvo (64-bittinen) DiagMatchAnyMask arvolla 0x00ffffff.

Kutista t�m� kuvaLaajenna t�m� kuva

Kun olet tehnyt t�m�n, voit ottaa toiminnallisen CAPI2-kirjauksen k�ytt��n Tapahtumienvalvonnassa. Toiminnallinen CAPI2-loki sijaitsee Tapahtumienvalvonnassa (valitse sovellus- ja palvelulokien vaihtoehto, Microsoft, Windows ja CAPI2). Voit ottaa kirjauksen k�ytt��n napsauttamalla Toiminnallinen-lokia hiiren kakkospainikkeella, valitsemalla Ota loki k�ytt��n ja sitten Suodata nykyinen loki. Valitse XML-v�lilehti ja valitse sitten Muokkaa kysely� manuaalisesti -valintaruutu.

Kutista t�m� kuvaLaajenna t�m� kuva

Kun olet ker�nnyt lokin, voit v�hent�� l�pik�yt�vien merkint�jen m��r�� seuraavalla suodattimella. T�m� helpottaa sellaisten varmennetoimintojen l�ytymist�, joiden avainten pituus on alle 1 024 bitti�. Seuraava suodatin etsii 512-bittisi� avaimia.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Kutista t�m� kuvaLaajenna t�m� kuva

Voit tehd� useiden avainpituuksien kyselyn my�s yksitt�isell� kyselyll�. Esimerkiksi seuraava suodatin tekee kyselyt 384- ja 512-bittisille avaimille.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Varmennemallien tarkistaminen

Voit etsi� varmennemalleja, jotka k�ytt�v�t alle 1 024 bitin mittaisia avaimia, tekem�ll� seuraavan kyselyn varmenteiden my�nt�jille (CA):

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Huomautus Komento on suoritettava organisaation kussakin toimialuepuuryhm�ss�.

Jos teet t�m�n kyselyn, alle 1 024 bitin kokoisia avaimia k�ytt�v�t mallit ja niiden avainten koot tulevat n�kyviin. Seuraavassa kuvassa on kaksi valmista mallia, �lykorttikirjautuminen ja �lykortin k�ytt�j�, joiden avainten oletusv�himm�ispituus on 512 bitti�. Saatat l�yt�� my�s muita kahdentuneita malleja, joiden avainten v�himm�iskoko on alle 1 024 bitti�.

Kun l�yd�t mallin, joka sallii alle 1 024 bitin mittaiset avaimet, m��rit�, voiko varmenteita my�nt�� CA-konsolin Varmennemallit-osiossa kuvatulla tavalla.

Kutista t�m� kuvaLaajenna t�m� kuva

Kirjauksen ottaminen k�ytt��n tietokoneissa, joihin p�ivitys on asennettu

Rekisteriasetuksilla voi m��ritt��, ett� p�ivityksen k�ytt��n ottaneet tietokoneet voivat paikantaa RSA-varmenteita, joiden avaimen pituus on alle 1 024 bitti�. Kirjauksen k�ytt��nottoasetus on kuvattu Ongelman ratkaiseminen -osiossa, koska se liittyy l�heisesti rekisteriasetuksiin, joilla voidaan sallia alle 1 024 bitin pituiset avaimet. Lis�tietoja kirjaamisen k�ytt��notosta on j�ljemp�n� t�ss� artikkelissa kohdassa Alle 1 024 bitin mittaisten avainten salliminen rekisteriasetuksilla.

Palaa alkuun | Anna palautetta

Ongelman ratkaiseminen

Kaikkien alle 1 024 bitin mittaisia avaimia k�ytt�vien varmenteiden est�miseen liittyvien ongelmien ensisijainen ratkaisu on ottaa k�ytt��n suurempi (v�hint��n 1 024 bitin mittainen avain) varmenne. K�ytt�jien kannattaa ottaa k�ytt��n varmenteet, joiden avaimen pituus on v�hint��n 2 048 bitti�.

Automaattisen varmennerekister�innin kautta my�nnetyn varmenteen avaimen koon suurentaminen

Jos malli on my�nt�nyt RSA-varmenteita, joiden avaimen pituus on alle 1 024 bitti�, kannattaa harkita avaimen v�himm�iskokoasetuksen suurentamista v�hint��n 1 024 bittiin. T�m� olettaen, ett� laitteet, joille n�m� varmenteet on my�nnetty, tukevat suurempaa avaimen kokoa.

Kun olet suurentanut avaimen v�himm�iskokoa, valitse kaikkien varmenteen omistajien uudelleenrekister�intiin k�ytett�v� asetus varmennemallikonsolista. N�in asiakastietokoneet tekev�t rekister�innin uudelleen ja pyyt�v�t suurempaa avainkokoa.

Kutista t�m� kuvaLaajenna t�m� kuva

Jos olet my�nt�nyt varmenteita valmiilla �lykorttikirjautuminen- tai �lykortin k�ytt�j� -malleilla, et voi s��t�� mallin avaimen v�himm�iskokoa suoraan. Sen sijaan malli on kopioitava, kopioidun mallin avaimen kokoa on suurennettava ja alkuper�inen malli on sitten korvattava kopioidulla mallilla

(http://technet.microsoft.com/fi-fi/library/cc753044.aspx)

Kutista t�m� kuvaLaajenna t�m� kuva

Kun olet korvannut mallin, k�yt� kaikkien varmenteen omistajien uudelleenrekister�intiin k�ytett�v�� asetusta, jotta asiakastietokoneet tekev�t rekister�innin uudelleen ja pyyt�v�t suurempaa avainkokoa.

Kutista t�m� kuvaLaajenna t�m� kuva

Alle 1 024 bitin mittaisten avainten salliminen rekisteriasetuksilla

Microsoft ei suosittele alle 1 024 bitin mittaisten varmenteiden k�ytt�mist�. Asiakkaat voivat kuitenkin tarvita tilap�isen kiertotavan pidempiaikaisen ratkaisun kehitt�misen ajaksi, kun alle 1 024 bitin mittaisen avaimen sis�lt�v�t RSA-varmenteet on vaihdettava. T�llaisissa tapauksissa Microsoft tarjoaa asiakkaille mahdollisuutta muuttaa p�ivityksen toimintatapaa. N�it� asetuksia m��ritt�v�t asiakkaat hyv�ksyv�t riskitilanteen, jossa hy�kk��j� saattaa pysty� murtamaan varmenteet ja k�ytt�m��n niit� sis�ll�n v��rent�miseen, tietokalasteluhy�kk�ysten tekemiseen tai v�list�vetohy�kk�ysten tekemiseen.

T�rke�� T�ss� osassa, tavassa tai teht�v�ss� olevissa vaiheissa kerrotaan, miten rekisteri� muokataan. Vakavia ongelmia saattaa kuitenkin ilmet�, jos rekisteri� muokataan virheellisesti. Varmista siis, ett� noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. T�ll�in voit palauttaa sen, jos ongelmia ilmenee. Lis�tietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin p��set lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

322756

(http://support.microsoft.com/kb/322756 /fi/ )

Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa

Jos p�ivitys on otettu k�ytt��n Windows 8- tai Windows Server 2012 -tietokoneessa, alle 1 024 bitin mittaisia avaimia sis�lt�vien RSA-varmenteiden tunnistusta ja estoa voidaan hallita seuraavalla rekisteripolulla ja asetuksilla.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Alle 1 024 bitin avainten estoa hallitaan nelj�n p��arvon perusteella. N�m� ovat seuraavat:

MinRsaPubKeyBitLength
EnableWeakSignatureFlags
WeakSignatureLogDir
WeakRsaPubKeyTime

N�m� arvot ja niiden hallinnoimat asetukset on kuvattu seuraavissa osioissa.

Jos kyseess� on Windows Vista- tai Windows Server 2008 -k�ytt�j�rjestelm�, voit muuttaa n�it� rekisteriasetuksia certutil-komennoilla. Windows XP-, Windows Server 2003- ja Windows Server 2003 R2 -k�ytt�j�rjestelmiss� n�it� rekisteriasetuksia ei voi muuttaa certutil-komennoilla. Voit kuitenkin k�ytt�� rekisterieditoria, reg-komentoa tai reg-tiedostoa.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength�on DWORD-arvo, joka m��ritt�� pienimm�n sallitun RSA-avaimen pituuden. Oletusarvoisesti t�t� arvoa ei ole, ja sallittu RSA-avaimen v�himm�ispituus on 1 024. T�m�n arvon voi m��ritt�� 512:een seuraavalla certutil-komennolla:

certutil -setreg chain\minRSAPubKeyBitLength 512

HuomautusKaikki t�ss� artikkelissa kuvatut certutil-komennot edellytt�v�t paikallisen j�rjestelm�nvalvojan oikeuksia, koska ne muuttavat rekisteri�. Voit ohittaa viestin, jossa lukee "CertSvc palvelu on ehk� k�ynnistett�v� uudelleen, jotta muutokset tulevat voimaan". T�m� ei ole pakollista n�iss� komennoissa, koska ne eiv�t vaikuta varmennepalveluun (CertSvc).�

Voit palauttaa alle 1 024 bitin mittaisten avainten eston poistamalla arvon. Voit tehd� t�m�n suorittamalla seuraavan certutil-komennon:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

DWORD-arvolla EnableWeakSignatureFlags on nelj� mahdollista arvoa: 2, 4, 6 ja 8. N�m� asetukset muuttavat alle 1 024 bitin mittaisten avainten tunnistusta ja estoa. Asetukset on kuvattu seuraavassa taulukossa:

Kutista t�m� taulukkoLaajenna t�m� taulukko

Desimaaliarvo	Kuvaus
2	Kun t�m� on otettu k�ytt��n, p��varmenteessa voi olla (ketjun muodostamisen aikana) RSA-varmenne, jonka avaimen pituus on alle 1 024 bitti�. Ketjussa alempana olevien RSA-varmenteiden esto on edelleen voimassa (jos niiden avaimen pituus on alle 1 024 bitti�). Kun t�m� arvo on m��ritetty, k�ytt��n otettava merkint� on CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4	Kirjaus otetaan k�ytt��n, mutta alle 1 024 bitin mittaisen avaimen sis�lt�vien RSA-varmenteiden esto on edelleen voimassa. Kun se on k�yt�ss�, WeakSignatureLogDir on pakollinen. Kaikki havaitut avaimet, joiden pituus on alle 1 024 bitti�, kopioidaan fyysiseen WeakSignatureLogDir-kansioon. Kun t�m� arvo on m��ritetty, k�ytt��n otettava merkint� on CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6	Kun t�m� on otettu k�ytt��n, p��varmenteessa voi olla RSA-varmenne, jonka avaimen pituus on alle 1 024 bitti�. WeakSignatureLogDir on pakollinen. Kaikki p��varmenteen alla olevat avaimet, joiden pituus on alle 1 024 bitti�, estet��n ja kirjataan WeakSignatureLogDir-kansioon.
8	Kirjaus otetaan k�ytt��n, mutta alle 1 024 bitin mittaisten avainten esto ei ole voimassa. Kun se on k�yt�ss�, WeakSignatureLogDir on pakollinen. Kaikki havaitut avaimet, joiden pituus on alle 1 024 bitti�, kopioidaan fyysiseen WeakSignatureLogDir-kansioon. Kun t�m� arvo on m��ritetty, k�ytt��n otettava merkint� on CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Esimerkkej�

Jos haluat ottaa k�ytt��n RSA-p��varmenteen, jonka avaimen pituus on alle 1 024 bitti�, k�yt� seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 2

Jos haluat ottaa kirjauksen k�ytt��n, kun alle 1 024 bitin mittaisen avaimen sis�lt�vien varmenteiden esto on edelleen k�yt�ss�, k�yt� seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 4

Jos haluat ottaa vain p��varmenteen alla olevien sellaisten RSA-varmenteiden kirjauksen k�ytt��n, joiden avaimen pituus on alle 1 024 bitti�, k�yt� seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 6

Jos haluat ottaa vain kirjauksen k�ytt��n, etk� est�� alle 1 024 bitin mittaisia avaimia, k�yt� seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 8

Huomautus Kun otat kirjauksen k�ytt��n (desimaaliasetus 4, 6 tai 8), sinun on m��ritett�v� my�s lokihakemisto seuraavassa osiossa kuvatulla tavalla.

WeakSignatureLogDir

Kun t�m� on m��ritetty, varmenteet, joiden avaimen pituus on alle 1 024 bitti�, kirjoitetaan m��ritettyyn kansioon. T�m�n arvon data voi olla esimerkiksi C:\Under1024KeyLog. T�m� asetus on pakollinen, kun EnableWeakSignatureFlags-asetukseksi on m��ritetty 4 tai 8. Varmista, ett� m��rit�t m��ritetyn kansion suojauksen siten, ett� Todennetut k�ytt�j�t ja paikallinen ryhm� Kaikki sovelluspaketit saavat muokkausoikeudet. T�m�n arvon voi m��ritt�� C:\Under1024KeyLog-hakemistolle seuraavalla certutil-komennolla:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Voit my�s m��ritt��, ett� WeakSignatureLogDir kirjoittaa jaettuun verkkokansioon. Varmista, ett� olet m��ritt�nyt verkkosijaintiin asianmukaiset k�ytt�oikeudet siten, ett� kaikki m��ritetyt k�ytt�j�t voivat kirjoittaa jaettuun kansioon. Seuraava komento on esimerkki siit�, miten WeakSignatureLogDir m��ritet��n kirjoittamaan kansioon nimelt� Keys, joka sijaitsee jaetussa verkkokansiossa nimelt� RSA palvelimessa Server1:

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime on 8-tavuinen REG_BINARY-arvo, joka sis�lt�� UTC/GMT-muodossa tallennetun Windowsin FILETIME-tietotyypin. T�m� arvo on k�ytett�viss� ensisijaisesti siksi, ett� se v�hent�� mahdollisia ongelmia, joita ilmenee, kun Authenticode-allekirjoitusten alle 1 024 bitin mittaisia avaimia estet��n. Jos varmennetta k�ytet��n koodin allekirjoittamiseen ennen m��ritetty� ajankohtaa, siit� ei tarkisteta avaimia, joiden pituus on alle 1 024 bitti�. Oletusarvoisesti t�t� rekisteriarvoa ei ole olemassa, vaan sit� k�sitell��n ajankohdan 1.1.2010, keskiy� (UTC/GMT) mukaisesti.

HuomautusT�m� asetus on voimassa vain, kuin varmennetta on k�ytetty aikaleimatun tiedoston Authenticode-allekirjoitukseen. Jos koodia ei ole aikaleimattu, k�ytet��n nykyist� aikaa. WeakRsaPubKeyTime-asetusta ei k�ytet�.

WeakRsaPubKeyTime-asetuksen avulla voi m��ritt�� p�iv�m��r�n, jota vanhemmat allekirjoitukset kelpaavat. Jos WeakRsaPubKeyTime-arvon ajankohtaa on muutettava, voit k�ytt�� p�iv�m��r�n vaihtamiseen certutil-komentoa. Jos haluat m��ritt�� p�iv�m��r�ksi esimerkiksi 29.8.2010, voit k�ytt�� seuraavaa komentoa:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

Jos ajankohdan on oltava jokin tietty aika, kuten kello 18.00 4.7.2011, lis�� p�iv�- ja tuntiluku komentoon muodossa +[pp:hh]. Koska kello 18.00 on 18 tuntia keskiy�n 4.7.2011 j�lkeen, suorita seuraava komento:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

IIS (Internet Information Services) -varmenteiden m��ritt�minen

Jos olet IIS-asiakas, jonka on my�nnett�v� uusia v�hint��n 1 024 bitin mittaisia varmenteita, lue seuraavat artikkelit:

SSL:n m��ritt�minen IIS 7:ss�

(http://learn.iis.net/page.aspx/144/how-to-set-up-ssl-on-iis/)

SSL ja varmenteet IIS 6:ssa

(http://technet.microsoft.com/fi-fi/library/cc785150(v=ws.10))

Palaa alkuun | Anna palautetta

Ratkaisu

Voit ladata seuraavat tiedostot Microsoft Download Centerist�:

Kaikki tuetut Windows XP:n x86-versiot

Kutista t�m� kuvaLaajenna t�m� kuva

Select the product you need help with

Microsoft Security Advisory -suojausneuvo: varmenneavaimen v�himm�ispituuden p�ivitys

P�ivityksen korvaamistiedot

Tunnettuja t�m�n suojausp�ivityksen yhteydess� ilmenevi� ongelmia

Sellaisten RSA-varmenteiden havaitseminen, joiden avaimen pituus on alle 1 024 bitti�

Varmenteiden ja sertifiointipolkujen tarkistaminen manuaalisesti

CAPI2-kirjauksen k�ytt�minen

Varmennemallien tarkistaminen

Kirjauksen ottaminen k�ytt��n tietokoneissa, joihin p�ivitys on asennettu

Automaattisen varmennerekister�innin kautta my�nnetyn varmenteen avaimen koon suurentaminen

Alle 1 024 bitin mittaisten avainten salliminen rekisteriasetuksilla

MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Esimerkkej�

WeakSignatureLogDir

WeakRsaPubKeyTime

IIS (Internet Information Services) -varmenteiden m��ritt�minen

Kaikki tuetut Windows XP:n x86-versiot

Kaikki tuetut Windows XP Professional x64 Editionin x64-versiot

Kaikki tuetut Windows Server 2003:n x86-versiot

Kaikki tuetut Windows Server 2003:n x64-versiot

Kaikki tuetut Windows Server 2003:n IA-64-versiot

Kaikki tuetut Windows Vistan x86-versiot

Kaikki tuetut Windows Vistan x64-versiot

Kaikki tuetut Windows Server 2008:n x86-versiot

Kaikki tuetut Windows Server 2008:n x64-versiot

Kaikki tuetut Windows Server 2008:n IA-64-versiot

Kaikki tuetut Windows 7:n x86-versiot

Kaikki tuetut Windows 7:n x64-versiot

Kaikki tuetut Windows Server 2008 R2:n x64-versiot

Kaikki tuetut Windows Server 2008 R2:n IA-64-versiot

Kaikki tuetut Windows Embedded Standard 7:n x86-versiot

Kaikki tuetut Windows Embedded Standard 7:n x64-versiot

Artikkelin tiedot koskevat seuraavia tuotteita:

Hakusanat:�

Artikkeleiden k��nn�kset