Microsoft Security Advisory -suojausneuvo: varmenneavaimen vähimmäispituuden päivitys

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 2661254 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

JOHDANTO

Microsoft on julkaissut Microsoft Security Advisory -suojausneuvon tietotekniikan asiantuntijoita varten. Tässä suojausneuvossa ilmoitetaan, että alle 1 024 bitin mittaisten RSA-varmenteiden käyttö estetään. Voit tarkastella suojausneuvoa seuraavassa Microsoftin WWW-sivustossa:
http://technet.microsoft.com/en-us/security/advisory/2661254
Microsoft on julkaissut muun kuin suojauspäivityksen (KB 2661254) kaikissa tuetuissa Microsoft Windows -versioissa vähentääkseen arkaluontoisten tietojen luvattoman käytön riskiä. Tämä päivitys estää alle 1024 bitin pituiset salausavaimet. Tämä päivitys ei koske Windows 8 Release Preview'ta eikä Windows Server 2012 Release Candidatea, koska näissä käyttöjärjestelmissä on jo toiminnot, joilla heikkojen, alle 1 024 bitin mittaisten RSA-avainten käyttö estetään.

Enemmän tietoa

Julkisiin avaimiin perustuvien kryptografisten algoritmien vahvuus määräytyy sen mukaan, kuinka kauan yksityisen avaimen selvittäminen kestää järjestelmällisillä menetelmillä. Algoritmin katsotaan olevan riittävän vahva, kun yksityisen avaimen selvittäminen kestää niin kauan, ettei käytettävissä oleva laskentateho riitä siihen. Uhkakuvat kehittyvät jatkuvasti. Siksi Microsoft koventaa sellaisten RSA-algoritmien ehtoja entisestään, joiden avainten pituudet ovat alle 1 024 bittiä.

Kun päivitys on otettu käyttöön, tämä vaikuttaa vain CertGetCertificateChain-toiminnolla muodostettuihin varmenneketjuihin. CryptoAPI muodostaa varmenneluottamusketjun ja vahvistaa kyseisen ketjun käyttämällä vanhentumisaikaa, varmenteiden kumousta ja varmennekäytäntöjä (kuten käyttötarkoituksia). Päivitys ottaa käyttöön lisätarkistuksen, jolla varmistetaan, ettei millään ketjun varmenteista ole alle 1 024 bitin pituista RSA-avainta.

Päivityksen korvaamistiedot

Tämä päivitys korvaa seuraavan päivityksen:
2677070 Kumottujen varmenteiden automaattinen päivitystoiminto on saatavana Windows Vista-, Windows Server 2008-, Windows 7- ja Windows Server 2008 R2 -käyttöjärjestelmille.

Tunnettuja tämän suojauspäivityksen yhteydessä ilmeneviä ongelmia

Kun päivitys on asennettu järjestelmään:
  • Uudelleenkäynnistys on pakollinen.
  • Varmenteen myöntäjä (CA) ei voi myöntää RSA-varmenteita, joiden avaimen pituus on alle 1 024 bittiä.
  • CA-palvelua (certsvc) ei voida käynnistää, kun CA käyttää RSA-varmennetta, jonka avaimen pituus on alle 1 024 bittiä.
  • Internet Explorer ei salli sellaisen verkkosivuston käyttöä, joka on suojattu alle 1 024 bitin mittaisen avaimen sisältävällä RSA-varmenteella.
  • Outlook 2010:tä ei voi käyttää sähköpostin salaamiseen, jos se käyttää RSA-varmennetta, jonka avaimen pituus on alle 1 024 bittiä. Alle 1 024 bitin mittaisen avaimen sisältävällä RSA-varmenteella aiemmin salatun sähköpostiviestin salaus voidaan kuitenkin purkaa päivityksen asentamisen jälkeen.
  • Outlook 2010:tä ei voi käyttää sähköpostin digitaaliseen allekirjoitukseen, jos se käyttää RSA-varmennetta, jonka avaimen pituus on alle 1 024 bittiä.
  • Kun Outlook 2010 vastaanottaa digitaalisesti allekirjoitetun tai alle 1 024 bitin mittaisen avaimen sisältävällä RSA-varmenteella salatun sähköpostiviestin, käyttäjä saa virheen, jossa ilmoitetaan, ettei varmenteeseen voida luottaa. Käyttäjä voi edelleen tarkastella salattua tai allekirjoitettua sähköpostiviestiä.
  • Outlook 2010 ei voi muodostaa Microsoft Exchange -palvelinyhteyttä, jos se käyttää RSA-varmennetta, jonka SSL-/TLS-avaimen pituus on alle 1 024 bittiä. Näyttöön tulee seuraavankaltainen virhe: "Ulkopuoliset eivät voi tarkastella tai muuttaa tämän palvelimen kanssa vaihdettuja tietoja. Sivuston suojausvarmenteessa on kuitenkin ongelmia. Suojausvarmenne on virheellinen. Tämä sivusto ei ole turvallinen."
  • "Tuntemattoman julkaisijan" suojausvaroitukset raportoidaan, mutta asennusta voidaan jatkaa seuraavissa tapauksissa:
    • Järjestelmä havaitsee aikaisintaan 1.1.2010 aikaleimattuja ja alle 1 024 bitin mittaisen avaimen sisältävällä RSA-varmenteella allekirjoitettuja Authenticode-allekirjoituksia.
    • Allekirjoitetut asennusohjelmat on allekirjoitettu RSA-varmenteella, jonka avaimen pituus on alle 1 024 bittiä.
    • ActiveX-ohjausobjektit on allekirjoitettu RSA-varmenteella, jonka avaimen pituus on alle 1 024 bittiä. Tämän päivityksen asentaminen ei vaikuta ennen päivitystä asennettuihin ActiveX-ohjausobjekteihin.
  • System Center HP-UX PA-RISC -tietokoneet, jotka käyttävät 512-bittisen avaimen sisältävää RSA-varmennetta, muodostavat Heartbeat-ilmoituksia, ja tietokoneiden Operations Manager -valvonta epäonnistuu. Myös "SSL-varmennevirhe" ilmenee, ja sitä kuvataan sanoilla "allekirjoitetun varmenteen vahvistus". Operations Manager ei myöskään tunnista uusia HP-UX PA-RISC -tietokoneita "allekirjoitetun varmenteen vahvistuksessa" ilmenneen virheen vuoksi. System Center -asiakkaita, joilla on HP-UX PA-RISC -tietokoneita, kehotetaan myöntämään RSA-varmenteet uudelleen siten, että niiden avainten pituudet ovat vähintään 1 024 bittiä. Lisätietoja on seuraavalla TechNetin WWW-sivulla:
    TÄRKEÄÄ: Operations Managerin valvomat HP-UX PA-RISC -tietokoneet havaitsevat Heartbeat- ja valvontavikoja tulevan Windows-päivityksen jälkeen
Huomautus Tämä päivitys ei vaikuta EFS-salaukseen.

Sellaisten RSA-varmenteiden havaitseminen, joiden avaimen pituus on alle 1 024 bittiä

Jos käytössä on RSA-varmenteita, joiden avaimen pituus on alle 1 024 bittiä, tämän voi havaita neljällä tavalla:
  • Varmenteiden ja sertifiointipolkujen tarkistaminen manuaalisesti
  • CAPI2-kirjauksen käyttäminen
  • Varmennemallien tarkistaminen
  • Kirjauksen ottaminen käyttöön tietokoneissa, joihin päivitys on asennettu

Varmenteiden ja sertifiointipolkujen tarkistaminen manuaalisesti

Voit tarkistaa varmenteet manuaalisesti avaamalla ne ja tarkastelemalla niiden tyyppiä, avaimen pituutta ja sertifiointipolkuja. Voit tehdä tämän tarkastelemalla (yleensä kaksoisnapsauttamalla) mitä tahansa sisäisesti myönnettyä varmennetta. Valitse Sertifiointipolku-välilehdessä ketjun kunkin varmenteen kohdalla Näytä varmenne, jotta voit varmistaa, että kaikissa RSA-varmenteissa käytetään vähintään 1 024 bitin mittaisia avaimia.

Esimerkiksi seuraavassa kuvassa oleva varmenne myönnettiin toimialueen ohjauskoneelle (2003DC.adatum.com) yrityksen varmenteiden päämyöntäjältä nimeltä AdatumRootCA. Voit valita AdatumRootCA-varmenteen Sertifiointipolku-välilehdessä.

Kutista tämä kuvaLaajenna tämä kuva
2796239


Voit tarkastella AdatumRootCA-varmennetta valitsemalla Näytä varmenne. Kun valitset Tiedot-ruudussa Julkinen avain, voit tarkastella avaimen kokoa seuraavassa kuvassa osoitetulla tavalla.

Kutista tämä kuvaLaajenna tämä kuva
2796240


Tässä esimerkissä AdatumRootCA:n RSA-varmenne on 2 048 bittiä.

CAPI2-kirjauksen käyttäminen

CAPI2-kirjausta voi käyttää Windows Vista- ja Windows Server 2008 -tietokoneissa ja sitä uudemmissa Windows-versioissa sellaisten avainten tunnistamiseen, joiden pituus on alle 1 024 bittiä. Tietokoneiden voi sitten antaa suorittaa normaalit toimet. Lokista voi myöhemmin tarkistaa, minkä avainten pituus on alle 1 024 bittiä. Näiden tietojen avulla voi sitten paikantaa varmenteiden lähteet ja tehdä tarvittavat päivitykset. 

Jos haluat tehdä tämän, sinun on ensin otettava selväkielinen diagnostiikkakirjaaminen käyttöön. Voit ottaa selväkielisessä tilassa tehtävän kirjaamisen käyttöön seuraavasti:

1. Avaa Rekisterieditori (Regedit.exe).

2. Siirry seuraavaan rekisteriavaimeen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Lisää DWORD-arvo (32-bittinen) DiagLevel arvolla 0x00000005.

4. Lisää QWORD-arvo (64-bittinen) DiagMatchAnyMask arvolla 0x00ffffff.

Kutista tämä kuvaLaajenna tämä kuva
2796241


Kun olet tehnyt tämän, voit ottaa toiminnallisen CAPI2-kirjauksen käyttöön Tapahtumienvalvonnassa. Toiminnallinen CAPI2-loki sijaitsee Tapahtumienvalvonnassa (valitse sovellus- ja palvelulokien vaihtoehto, Microsoft, Windows ja CAPI2). Voit ottaa kirjauksen käyttöön napsauttamalla Toiminnallinen-lokia hiiren kakkospainikkeella, valitsemalla Ota loki käyttöön ja sitten Suodata nykyinen loki. Valitse XML-välilehti ja valitse sitten Muokkaa kyselyä manuaalisesti -valintaruutu.
Kutista tämä kuvaLaajenna tämä kuva
2796242


Kun olet kerännyt lokin, voit vähentää läpikäytävien merkintöjen määrää seuraavalla suodattimella. Tämä helpottaa sellaisten varmennetoimintojen löytymistä, joiden avainten pituus on alle 1 024 bittiä. Seuraava suodatin etsii 512-bittisiä avaimia.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Kutista tämä kuvaLaajenna tämä kuva
2796243


Voit tehdä useiden avainpituuksien kyselyn myös yksittäisellä kyselyllä. Esimerkiksi seuraava suodatin tekee kyselyt 384- ja 512-bittisille avaimille.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Varmennemallien tarkistaminen

Voit etsiä varmennemalleja, jotka käyttävät alle 1 024 bitin mittaisia avaimia, tekemällä seuraavan kyselyn varmenteiden myöntäjille (CA):

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Huomautus Komento on suoritettava organisaation kussakin toimialuepuuryhmässä.

Jos teet tämän kyselyn, alle 1 024 bitin kokoisia avaimia käyttävät mallit ja niiden avainten koot tulevat näkyviin. Seuraavassa kuvassa on kaksi valmista mallia, Älykorttikirjautuminen ja Älykortin käyttäjä, joiden avainten oletusvähimmäispituus on 512 bittiä. Saatat löytää myös muita kahdentuneita malleja, joiden avainten vähimmäiskoko on alle 1 024 bittiä.

Kun löydät mallin, joka sallii alle 1 024 bitin mittaiset avaimet, määritä, voiko varmenteita myöntää CA-konsolin Varmennemallit-osiossa kuvatulla tavalla.

Kutista tämä kuvaLaajenna tämä kuva
2796244


Kirjauksen ottaminen käyttöön tietokoneissa, joihin päivitys on asennettu

Rekisteriasetuksilla voi määrittää, että päivityksen käyttöön ottaneet tietokoneet voivat paikantaa RSA-varmenteita, joiden avaimen pituus on alle 1 024 bittiä. Kirjauksen käyttöönottoasetus on kuvattu Ongelman ratkaiseminen -osiossa, koska se liittyy läheisesti rekisteriasetuksiin, joilla voidaan sallia alle 1 024 bitin pituiset avaimet. Lisätietoja kirjaamisen käyttöönotosta on jäljempänä tässä artikkelissa kohdassa Alle 1 024 bitin mittaisten avainten salliminen rekisteriasetuksilla.

Ongelman ratkaiseminen

Kaikkien alle 1 024 bitin mittaisia avaimia käyttävien varmenteiden estämiseen liittyvien ongelmien ensisijainen ratkaisu on ottaa käyttöön suurempi (vähintään 1 024 bitin mittainen avain) varmenne. Käyttäjien kannattaa ottaa käyttöön varmenteet, joiden avaimen pituus on vähintään 2 048 bittiä.

Automaattisen varmennerekisteröinnin kautta myönnetyn varmenteen avaimen koon suurentaminen

Jos malli on myöntänyt RSA-varmenteita, joiden avaimen pituus on alle 1 024 bittiä, kannattaa harkita avaimen vähimmäiskokoasetuksen suurentamista vähintään 1 024 bittiin. Tämä olettaen, että laitteet, joille nämä varmenteet on myönnetty, tukevat suurempaa avaimen kokoa.

Kun olet suurentanut avaimen vähimmäiskokoa, valitse kaikkien varmenteen omistajien uudelleenrekisteröintiin käytettävä asetus varmennemallikonsolista. Näin asiakastietokoneet tekevät rekisteröinnin uudelleen ja pyytävät suurempaa avainkokoa.

Kutista tämä kuvaLaajenna tämä kuva
2796246


Jos olet myöntänyt varmenteita valmiilla Älykorttikirjautuminen- tai Älykortin käyttäjä -malleilla, et voi säätää mallin avaimen vähimmäiskokoa suoraan. Sen sijaan malli on kopioitava, kopioidun mallin avaimen kokoa on suurennettava ja alkuperäinen malli on sitten korvattava kopioidulla mallilla.

Kutista tämä kuvaLaajenna tämä kuva
2796248


Kun olet korvannut mallin, käytä kaikkien varmenteen omistajien uudelleenrekisteröintiin käytettävää asetusta, jotta asiakastietokoneet tekevät rekisteröinnin uudelleen ja pyytävät suurempaa avainkokoa.

Kutista tämä kuvaLaajenna tämä kuva
2796249


Alle 1 024 bitin mittaisten avainten salliminen rekisteriasetuksilla

Microsoft ei suosittele alle 1 024 bitin mittaisten varmenteiden käyttämistä. Asiakkaat voivat kuitenkin tarvita tilapäisen kiertotavan pidempiaikaisen ratkaisun kehittämisen ajaksi, kun alle 1 024 bitin mittaisen avaimen sisältävät RSA-varmenteet on vaihdettava. Tällaisissa tapauksissa Microsoft tarjoaa asiakkaille mahdollisuutta muuttaa päivityksen toimintatapaa. Näitä asetuksia määrittävät asiakkaat hyväksyvät riskitilanteen, jossa hyökkääjä saattaa pystyä murtamaan varmenteet ja käyttämään niitä sisällön väärentämiseen, tietokalasteluhyökkäysten tekemiseen tai välistävetohyökkäysten tekemiseen.

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa
Jos päivitys on otettu käyttöön Windows 8- tai Windows Server 2012 -tietokoneessa, alle 1 024 bitin mittaisia avaimia sisältävien RSA-varmenteiden tunnistusta ja estoa voidaan hallita seuraavalla rekisteripolulla ja asetuksilla.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Alle 1 024 bitin avainten estoa hallitaan neljän pääarvon perusteella. Nämä ovat seuraavat:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
Nämä arvot ja niiden hallinnoimat asetukset on kuvattu seuraavissa osioissa.

Jos kyseessä on Windows Vista- tai Windows Server 2008 -käyttöjärjestelmä, voit muuttaa näitä rekisteriasetuksia certutil-komennoilla. Windows XP-, Windows Server 2003- ja Windows Server 2003 R2 -käyttöjärjestelmissä näitä rekisteriasetuksia ei voi muuttaa certutil-komennoilla. Voit kuitenkin käyttää rekisterieditoria, reg-komentoa tai reg-tiedostoa.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength on DWORD-arvo, joka määrittää pienimmän sallitun RSA-avaimen pituuden. Oletusarvoisesti tätä arvoa ei ole, ja sallittu RSA-avaimen vähimmäispituus on 1 024. Tämän arvon voi määrittää 512:een seuraavalla certutil-komennolla:

certutil -setreg chain\minRSAPubKeyBitLength 512

HuomautusKaikki tässä artikkelissa kuvatut certutil-komennot edellyttävät paikallisen järjestelmänvalvojan oikeuksia, koska ne muuttavat rekisteriä. Voit ohittaa viestin, jossa lukee "CertSvc palvelu on ehkä käynnistettävä uudelleen, jotta muutokset tulevat voimaan". Tämä ei ole pakollista näissä komennoissa, koska ne eivät vaikuta varmennepalveluun (CertSvc). 

Voit palauttaa alle 1 024 bitin mittaisten avainten eston poistamalla arvon. Voit tehdä tämän suorittamalla seuraavan certutil-komennon:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

DWORD-arvolla EnableWeakSignatureFlags on neljä mahdollista arvoa: 2, 4, 6 ja 8. Nämä asetukset muuttavat alle 1 024 bitin mittaisten avainten tunnistusta ja estoa. Asetukset on kuvattu seuraavassa taulukossa:
Kutista tämä taulukkoLaajenna tämä taulukko
DesimaaliarvoKuvaus
2Kun tämä on otettu käyttöön, päävarmenteessa voi olla (ketjun muodostamisen aikana) RSA-varmenne, jonka avaimen pituus on alle 1 024 bittiä. Ketjussa alempana olevien RSA-varmenteiden esto on edelleen voimassa (jos niiden avaimen pituus on alle 1 024 bittiä). Kun tämä arvo on määritetty, käyttöön otettava merkintä on CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Kirjaus otetaan käyttöön, mutta alle 1 024 bitin mittaisen avaimen sisältävien RSA-varmenteiden esto on edelleen voimassa. Kun se on käytössä, WeakSignatureLogDir on pakollinen. Kaikki havaitut avaimet, joiden pituus on alle 1 024 bittiä, kopioidaan fyysiseen WeakSignatureLogDir-kansioon. Kun tämä arvo on määritetty, käyttöön otettava merkintä on CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Kun tämä on otettu käyttöön, päävarmenteessa voi olla RSA-varmenne, jonka avaimen pituus on alle 1 024 bittiä. WeakSignatureLogDir on pakollinen. Kaikki päävarmenteen alla olevat avaimet, joiden pituus on alle 1 024 bittiä, estetään ja kirjataan WeakSignatureLogDir-kansioon.
8Kirjaus otetaan käyttöön, mutta alle 1 024 bitin mittaisten avainten esto ei ole voimassa. Kun se on käytössä, WeakSignatureLogDir on pakollinen. Kaikki havaitut avaimet, joiden pituus on alle 1 024 bittiä, kopioidaan fyysiseen WeakSignatureLogDir-kansioon. Kun tämä arvo on määritetty, käyttöön otettava merkintä on CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Esimerkkejä

Jos haluat ottaa käyttöön RSA-päävarmenteen, jonka avaimen pituus on alle 1 024 bittiä, käytä seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 2

Jos haluat ottaa kirjauksen käyttöön, kun alle 1 024 bitin mittaisen avaimen sisältävien varmenteiden esto on edelleen käytössä, käytä seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 4

Jos haluat ottaa vain päävarmenteen alla olevien sellaisten RSA-varmenteiden kirjauksen käyttöön, joiden avaimen pituus on alle 1 024 bittiä, käytä seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 6

Jos haluat ottaa vain kirjauksen käyttöön, etkä estää alle 1 024 bitin mittaisia avaimia, käytä seuraavaa certutil-komentoa:

certutil -setreg chain\EnableWeakSignatureFlags 8

Huomautus Kun otat kirjauksen käyttöön (desimaaliasetus 4, 6 tai 8), sinun on määritettävä myös lokihakemisto seuraavassa osiossa kuvatulla tavalla.

WeakSignatureLogDir

Kun tämä on määritetty, varmenteet, joiden avaimen pituus on alle 1 024 bittiä, kirjoitetaan määritettyyn kansioon. Tämän arvon data voi olla esimerkiksi C:\Under1024KeyLog. Tämä asetus on pakollinen, kun EnableWeakSignatureFlags-asetukseksi on määritetty 4 tai 8. Varmista, että määrität määritetyn kansion suojauksen siten, että Todennetut käyttäjät ja paikallinen ryhmä Kaikki sovelluspaketit saavat muokkausoikeudet. Tämän arvon voi määrittää C:\Under1024KeyLog-hakemistolle seuraavalla certutil-komennolla:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Voit myös määrittää, että WeakSignatureLogDir kirjoittaa jaettuun verkkokansioon. Varmista, että olet määrittänyt verkkosijaintiin asianmukaiset käyttöoikeudet siten, että kaikki määritetyt käyttäjät voivat kirjoittaa jaettuun kansioon. Seuraava komento on esimerkki siitä, miten WeakSignatureLogDir määritetään kirjoittamaan kansioon nimeltä Keys, joka sijaitsee jaetussa verkkokansiossa nimeltä RSA palvelimessa Server1:

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime on 8-tavuinen REG_BINARY-arvo, joka sisältää UTC/GMT-muodossa tallennetun Windowsin FILETIME-tietotyypin. Tämä arvo on käytettävissä ensisijaisesti siksi, että se vähentää mahdollisia ongelmia, joita ilmenee, kun Authenticode-allekirjoitusten alle 1 024 bitin mittaisia avaimia estetään. Jos varmennetta käytetään koodin allekirjoittamiseen ennen määritettyä ajankohtaa, siitä ei tarkisteta avaimia, joiden pituus on alle 1 024 bittiä. Oletusarvoisesti tätä rekisteriarvoa ei ole olemassa, vaan sitä käsitellään ajankohdan 1.1.2010, keskiyö (UTC/GMT) mukaisesti.

HuomautusTämä asetus on voimassa vain, kuin varmennetta on käytetty aikaleimatun tiedoston Authenticode-allekirjoitukseen. Jos koodia ei ole aikaleimattu, käytetään nykyistä aikaa. WeakRsaPubKeyTime-asetusta ei käytetä.

WeakRsaPubKeyTime-asetuksen avulla voi määrittää päivämäärän, jota vanhemmat allekirjoitukset kelpaavat. Jos WeakRsaPubKeyTime-arvon ajankohtaa on muutettava, voit käyttää päivämäärän vaihtamiseen certutil-komentoa. Jos haluat määrittää päivämääräksi esimerkiksi 29.8.2010, voit käyttää seuraavaa komentoa:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

Jos ajankohdan on oltava jokin tietty aika, kuten kello 18.00 4.7.2011, lisää päivä- ja tuntiluku komentoon muodossa +[pp:hh]. Koska kello 18.00 on 18 tuntia keskiyön 4.7.2011 jälkeen, suorita seuraava komento:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

IIS (Internet Information Services) -varmenteiden määrittäminen

Jos olet IIS-asiakas, jonka on myönnettävä uusia vähintään 1 024 bitin mittaisia varmenteita, lue seuraavat artikkelit:
SSL:n määrittäminen IIS 7:ssä
SSL ja varmenteet IIS 6:ssa

Ratkaisu

Voit ladata seuraavat tiedostot Microsoft Download Centeristä:


Kaikki tuetut Windows XP:n x86-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows XP Professional x64 Editionin x64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2003:n x86-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2003:n x64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2003:n IA-64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Vistan x86-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Vistan x64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2008:n x86-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2008:n x64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2008:n IA-64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows 7:n x86-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows 7:n x64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2008 R2:n x64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Server 2008 R2:n IA-64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Embedded Standard 7:n x86-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Kaikki tuetut Windows Embedded Standard 7:n x64-versiot

Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa paketti nyt.

Julkaisupäivämäärä: 14.8.2012

Lisätietoja Microsoft-tukitiedostojen lataamisesta ja asentamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
119591 Microsoft-tukitiedostojen hankkiminen online-palveluista
Microsoft on tarkistanut tämän tiedoston virusten varalta. Microsoft käytti viimeisintä virustentarkistusohjelmaa, joka oli saatavana tiedoston julkaisupäivänä. Tiedosto on tallennettu suojattuihin palvelimiin, joten sitä ei voi muokata luvattomasti.

TIEDOSTOJEN TIEDOT

Jos haluat tarkastella näiden pakettien sisällä olevia tiedostoja, napsauta seuraavaa linkkiä:
Suojauspäivityksen 2661254 tiedostomääritteiden taulukot.csv
Huomautus Tämä on niin sanottu nopeasti julkaistava (?fast publish?) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista.

Ominaisuudet

Artikkelin tunnus: 2661254 - Viimeisin tarkistus: 26. joulukuuta 2012 - Versio: 5.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows 7 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Hakusanat: 
kbSecAdvisory atdownload kbbug kbExpertiseInter kbfix kbsecurity kbsecvulnerability KB2661254

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com