Biztonsági tanácsokat tartalmazó dokumentum (Microsoft Security Advisory): A tanúsítványkulcs minimális hosszának frissítése

A cikk fordítása A cikk fordítása
Cikk azonosítója: 2661254 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

A Microsoft kiadott egy informatikai szakembereknek szóló, biztonsági tanácsokat tartalmazó dokumentumot (Microsoft Security Advisory). Ebben a tanácsadó dokumentumban teszik közzé az arra vonatkozó információt, hogy az 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványok blokkolva lesznek. A biztonsági tanácsok a Microsoft következő webhelyén olvashatók:
http://technet.microsoft.com/en-us/security/advisory/2661254
Azért, hogy csökkentse a bizalmas adatok jogosulatlan hozzáférésének kockázatát, a Microsoft kiadott egy (KB 2661254 jelű) nem biztonsági jellegű frissítést a Microsoft Windows minden támogatott verziójához. Ez a frissítés blokkolja azokat a titkosításhoz használt kulcsokat, amelyek 1024 bitesnél rövidebbek. Ez a frissítés nem vonatkozik a Windows 8 Release Preview vagy Windows Server 2012 Release Candidate operációs rendszerre, mert ezek már tartalmazzák azt a funkciót, amely blokkolja a gyenge, 1024 bitesnél rövidebb RSA-kulcsokat.

További információ

A nyilvános kulcsokon alapuló titkosítási algoritmusok hatásossága attól függ, hogy mennyi időbe telik megállapítani találgatásos módszerekkel a titkos kulcsot. Az algoritmus akkor eléggé erős, ha a titkos kulcs visszafejtéséhez szükséges idő mennyisége elriasztónak bizonyul a rendelkezésre álló informatikai erőforrások mellett. A fenyegetettség mértéke egyre nő. Ezért a Microsoft tovább szigorítja az RSA-algoritmusokra vonatkozó követelményeket, és nem engedélyezi az 1024 bitesnél rövidebb kulcsok használatát.

A frissítés alkalmazása után csak a CertGetCertificateChain függvénnyel létrehozott tanúsítványláncok lesznek érintve. A CryptoAPI kiépít egy tanúsítványi megbízhatósági láncot, és ellenőrzi azt az érvényesség, a visszavonás és a tanúsítványi irányelvek (például a megjelölt felhasználási célok) ellenőrzésével. A frissítés egy további ellenőrzést is alkalmaz, amellyel megbizonyosodik afelől, hogy a lánc egyetlen tanúsítványában sem rövidebb az RSA-kulcs 1024 bitesnél.

Frissítések helyettesítése

Ez a frissítés a következő frissítést helyettesíti:
2677070 A visszavont tanúsítványokhoz automatikus frissítő érhető el a Windows Vista, Windows Server 2008, Windows 7 és Windows Server 2008 R2 rendszerhez

A biztonsági frissítéssel kapcsolatos ismert problémák

A frissítés alkalmazása után:
  • Újra kell indítani a számítógépet.
  • Egy hitelesítésszolgáltató (CA) sem adhat ki 1024 bitesnél rövidebb RSA-tanúsítványt.
  • A CA szolgáltatás (certsvc) nem indul el, ha a CA 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványt használ.
  • Az Internet Explorer nem engedélyezi a hozzáférést egy olyan webhelyhez, amelyet 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítvánnyal láttak el.
  • Az Outlook 2010 használatával nem lehet e-mailt titkosítani, ha 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványt használ. Azoknak az e-maileknek azonban fel lehet oldani a titkosítását a frissítés telepítése után is, amelyek 1024 bitesnél rövidebb kulcsot használó RSA-tanúsítvánnyal lettek titkosítva.
  • Az Outlook 2010 használatával nem lehet digitálisan e-maileket aláírni, ha 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványt használ.
  • Ha az Outlook 2010 olyan e-mailt fogad, amelynek digitális aláírása vagy titkosítása 1024 bitesnél rövidebb kulcsot használó RSA-tanúsítvánnyal készült, akkor a felhasználó hibaüzenetet kap, amely szerint a tanúsítvány nem megbízható. A felhasználó ettől még megtekintheti a titkosított vagy aláírt e-mailt.
  • Az Outlook 2010 nem tud csatlakozni egy olyan Microsoft Exchange-kiszolgálóhoz, amely az SSL/TLS-hez 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványt használ. A következő hibaüzenet jelenik meg: „A webhellyel váltott információkat más nem tekintheti meg és nem módosíthatja. A hely biztonsági tanúsítványával kapcsolatban azonban probléma jelentkezett. Érvénytelen a biztonsági tanúsítvány. Ebben a webhelyben nem szabad megbízni.”
  • Az „ismeretlen közzétevőre” vonatkozó biztonsági figyelmeztetések megjelennek, de a telepítést az alábbi elemek megléte esetén folytatni lehet:
    • Authenticode-aláírások, amelyeknek az időpecsétje 2010. január 1-i vagy későbbi, és amelyek olyan tanúsítvánnyal lettek aláírva, amelyek 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványt használtak.
    • Aláírt telepítők, amelyeknek az aláírásához 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványt használtak.
    • ActiveX-vezérlők, amelyeknek az aláírásához 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványt használtak. A frissítés előtt telepített ActiveX-vezérlőket a frissítés nem érinti.
  • Azok a System Center HP-UX PA-RISC számítógépek, amelyek 512 bites kulccsal rendelkező RSA-tanúsítványt használnak, szívverés-riasztást indítanak el, és a számítógépek minden Operations Manager-felügyelete leáll. Egy „SSL-tanúsítvány hibája” üzenet is létrejön, az „aláírt tanúsítvány-ellenőrzés” magyarázattal. Az Operations Manager nem lesz képes új HP-UX PA-RISC számítógépek észlelésére az „aláírt tanúsítvány-ellenőrzés” hiba miatt. A HP-UX PA-RISC számítógépekkel rendelkező System Center-ügyfeleknek tanácsos újra kibocsátaniuk az RSA-tanúsítványokat, immár 1024 bitest meghaladó méretű kulcsokkal. További információt a következő TechNet-weblapon talál:
    FONTOS: Az Operations Manager által felügyelt HP-UX PA-RISC számítógépek szívverés- és felügyeleti meghibásodásokat fognak észlelni a Windows-frissítés alkalmazása után
Megjegyzés: Az EFS-titkosítást ez a frissítés nem érinti.

1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványok feltárása

Négy fő módszerrel keresheti ki az 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványokat:
  • Tanúsítványok és tanúsítványláncok manuális ellenőrzése
  • CAPI2 naplózás használata
  • Tanúsítványsablonok ellenőrzése
  • Naplózás engedélyezése olyan számítógépeken, amelyekre már telepítette a frissítést

Tanúsítványok és tanúsítványláncok manuális ellenőrzése

Manuálisan is ellenőrizheti a tanúsítványokat, ha megnyitja azokat, és megnézi a típusukat, kulcshosszukat és a tanúsítványláncot. Ehhez tekintsen meg minden olyan tanúsítványt (kattintson rájuk duplán), amely belsőleg lett kibocsátva. A Tanúsítványlánc lapon kattintson a lánc minden tanúsítványának Tanúsítvány megtekintése elemére, így leellenőrizheti, hogy minden RSA-tanúsítvány minimum 1024 bites kulcsot használ-e.

Az alábbi ábrán szereplő tanúsítványt például egy tartományvezérlőnek (2003DC.adatum.com) bocsátották ki egy AdatumRootCA nevű vállalati legfelső szintű hitelesítés-szolgáltatótól. Kijelölheti az AdatumRootCA tanúsítványt a Tanúsítványlánc lapon.

A kép összecsukásaA kép kibontása
2796284


Az AdatumRootCA tanúsítvány megtekintéséhez kattintson a Tanúsítvány megtekintése gombra. A Részletek panelen válassza ki a Nyilvános kulcs elemet a kulcs méretének megtekintéséhez, az alábbi ábra szerint.

A kép összecsukásaA kép kibontása
2796285


Az AdatumRootCA jelen példában bemutatott RSA-tanúsítványa 2048 bites.

CAPI2 naplózás használata

A Windows Vista, Windows Server 2008 vagy későbbi Windows operációs rendszereket futtató számítógépeken a CAPI2 naplózás segítségével is azonosíthatja az 1024 bitesnél rövidebb kulcsokat. Engedélyezheti, hogy a számítógép a szokásos műveleteit futtassa, majd később ellenőrizheti a naplóban, hogy mely kulcsok rövidebbek 1024 bitnél. A kapott adatokkal lekövetheti a kérdéses tanúsítványok forrásait, és elvégezheti a szükséges frissítéseket.

Ehhez először engedélyeznie kell a részletező diagnosztikai naplózást. A részletező naplózás engedélyezéséhez kövesse az alábbi lépéseket:

1. Nyissa meg a Beállításszerkesztőt (Regedit.exe).

2. Keresse meg a következő beállításkulcsot:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Adjon hozzá egy DiagLevel Duplaszó (32 bites) értéket 0x00000005 értékkel.

4. Adjon hozzá egy DiagMatchAnyMask Négyszó típusú (64 bites) értéket 0x00ffffff értékkel.

A kép összecsukásaA kép kibontása
2796286


Ezután engedélyezheti a CAPI2 műveleti naplózást az Eseménynaplóban. A CAPI2 műveleti napló az Eseménynapló Alkalmazás- és szolgáltatásnaplók, Microsoft, Windows, CAPI2 helyén található. A naplózás engedélyezéséhez kattintson a jobb gombbal a Műveletek naplóra, kattintson a Napló engedélyezése, majd a Jelenlegi napló szűrése elemre. Kattintson az XML lapra, majd kattintással jelölje be a Lekérdezés manuális módosítása jelölőnégyzetet.
A kép összecsukásaA kép kibontása
2796287


Miután begyűjtötte a naplót, az alábbi szűrővel csökkentheti az átnézendő bejegyzések számát, hogy kikereshesse az 1024 bitesnél rövidebb kulccsal rendelkező műveleteket. Az alábbi szűrő 512 bites kulcsokat keres.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

A kép összecsukásaA kép kibontása
2796288


Egyetlen lekérdezésben eltérő hosszúságú kulcsokra is rákereshet. Az alábbi szűrő például 384 és 512 bites kulcsokra keres rá.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Tanúsítványsablonok ellenőrzése

Futtathatja az alábbi lekérdezést a hitelesítésszolgáltatókon (CA-k), hogy felderíthesse az 1024 bitesnél rövidebb kulcsot használó tanúsítványsablonokat:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Megjegyzés: A parancsot futtassa le a szervezet minden erdőjében.

Ha futtatja ezt a lekérdezést, megjelennek az 1024 bitesnél kisebb kulcsokat használó sablonok, a kulcsmérettel együtt. Az alábbi ábra azt mutatja, hogy a beépített sablonok közül kettő, a SmartcardLogon és a SmartcardUser, olyan alapértelmezett kulcshosszal rendelkezik, amelynek minimális mérete 512 bites. Olyan sablonokat is felfedezhet, amelyeket megkettőztek, és eredeti minimális kulcsméretük 1024 bitesnél kevesebb volt.

Minden olyan feltárt sablonnál, amely 1024 bitesnél kisebb kulcsokat is engedélyez, meg kell határoznia, hogy kibocsátható-e hozzá tanúsítvány a Hitelesítésszolgáltató konzol Tanúsítványsablonok részében leírtak szerint.

A kép összecsukásaA kép kibontása
2796289


Naplózás engedélyezése olyan számítógépeken, amelyekre már telepítette a frissítést

A beállításjegyzék beállításaival engedélyezheti a frissítést már alkalmazó számítógépnek, hogy keresse meg az 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványokat. A naplózás megvalósításának lehetőségét a „Megoldások” részben ismertetjük, mert szoros összefüggésben van azokkal a beállításjegyzék-beállításokkal, amelyekkel engedélyezhetők az 1024 bitesnél rövidebb kulcsok. A naplózás engedélyezésére vonatkozó további részletekért lásd a cikk későbbi, „1024 bitesnél rövidebb kulcsok engedélyezése a beállításjegyzék beállításaival” című részét.

Megoldások

Minden olyan probléma elsődleges megoldása, amely abból fakad, hogy a rendszer blokkolja az 1024 bitesnél rövidebb kulccsal rendelkező tanúsítványt, egy nagyobb (1024 bites vagy annál hosszabb kulcsú) tanúsítvány használata. Javasoljuk, hogy a felhasználók minimum 2048 bites kulcshosszúságú tanúsítványokat alkalmazzanak.

Automatikus igénylésen keresztül kibocsátott tanúsítvány kulcsméretének növelése

Olyan sablonoknál, ahol a kibocsátott RSA-tanúsítványok kulcshossza nem éri el az 1024 bitest, megfontolandó a minimális kulcsméret növelése legalább 1024 bitesre. Ez a megoldás feltételezi, hogy az eszközök, amelyekhez a tanúsítványok ki vannak bocsátva, támogatják a nagyobb kulcsméretet.

Miután megnövelte a minimális kulcsméretet, használja a Tanúsítványsablonok konzolAz összes tanúsítvány megújítása parancsát, hogy az ügyfélszámítógépek megújítsák a kulcsokat úgy, hogy nagyobb kulcsméretet kérnek.

A kép összecsukásaA kép kibontása
2796290


Ha a beépített „Bejelentkezés intelligens kártyával” és „Intelligenskártyás felhasználó” sablonokkal bocsátott ki tanúsítványokat, akkor nem fogja tudni közvetlenül módosítani a sablon minimális kulcsméretét. Ehelyett meg kell kettőznie a sablont, meg kell növelnie a másolat kulcsméretét, majd fel kell váltania az eredeti sablont a másolattal.

A kép összecsukásaA kép kibontása
2796291


Miután kicserélt egy sablont, használja Az összes tanúsítvány megújítása parancsot, hogy az ügyfélszámítógépek megújítsák a kulcsokat úgy, hogy nagyobb kulcsméretet kérnek.

A kép összecsukásaA kép kibontása
2796292


1024 bitesnél rövidebb kulcsok engedélyezése a beállításjegyzék beállításaival

A Microsoft nem javasolja, hogy az ügyfelek 1024 bitesnél rövidebb tanúsítványokat használjanak. Az ügyfeleknek azonban szüksége lehet egy ideiglenes megkerülő megoldásra, amíg ki nem dolgoznak egy hosszútávú megoldást az 1024 bitesnél rövidebb kulcshosszúságú RSA-tanúsítványok lecserélésre. Ezekben az esetekben a Microsoft lehetővé teszi, hogy az ügyfelek megváltoztathassák a frissítés működésének a módját. Az ezeket a beállításokat alkalmazó ügyfelek elfogadják annak a kockázatát, hogy egy támadó feltörheti a tanúsítványaikat, és visszaélhet a tartalmakkal, adatokat halászhat, vagy közbeékelődéses (man-in-the-middle) támadásokat hajthat végre.

Fontos: Az alábbi szakasz, módszer, illetve tevékenység a beállításjegyzék módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows rendszerben
A frissítést alkalmazó Windows 8 vagy Windows Server 2012 alapú számítógépeken a beállításjegyzék alábbi elérési útjával és beállításával vezérelhető az 1024 bitesnél rövidebb kulcsot használó RSA-tanúsítványok kiszűrése és blokkolása.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Négy fő érték vezérli az 1024 bites alatti méretű kulcsok blokkolását. Ezek a következők:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
A következő szakaszokban olvasható az értékek leírása, valamint az, hogy mit vezérelnek.

A Windows Vista, a Windows Server 2008 és az ezeknél újabb verziók esetében a certutil parancsokkal módosíthatja e beállításjegyzék-beállításokat. Windows XP, Windows Server 2003 és Windows Server 2003 R2 rendszer esetében a certutil parancsokkal nem módosíthatja e beállításjegyzék-beállításokat. Használhatja azonban a Beállításszerkesztőt, a reg parancsot vagy egy reg fájlt. A

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength olyan duplaszó, amely az RSA-kulcs engedélyezett minimális hosszát határozza meg. Ha az érték nem található, alapértelmezés szerint az RSA-kulcs engedélyezett minimális hossza 1024. A certutil használatával a következő parancs futtatásával állíthatja 512-re az értéket:

certutil -setreg chain\minRSAPubKeyBitLength 512

Megjegyzés:A cikkben bemutatott összes certutil parancs használatához helyi rendszergazdai jogosultságok szükségesek, mert módosítják a beállításjegyzéket. Figyelmen kívül hagyhatja „A változások érvénybe lépéséhez szükség lehet a CertSvc szolgáltatás újraindítására” üzenetet. E parancsok esetén ez nem szükséges, mert nincsenek hatással a tanúsítványszolgáltatásra (CertSvc).

Az érték eltávolításával visszaválthat az 1024 bitesnél rövidebb kulcsok blokkolására. Ezt a következő certutil paranccsal teheti meg:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Az EnableWeakSignatureFlags duplaszó a következő három lehetséges értékkel rendelkezhet: 2, 4, 6 és 8. Ezek a beállítások módosítják az 1024 bitesnél rövidebb kulcsok észlelését és blokkolását. A beállítások leírása a következő táblázatban található:
A táblázat összecsukásaA táblázat kibontása
Decimális értékLeírás
2Ha engedélyezett, a gyökértanúsítványnak (a lánc létrehozása során) 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványa is lehet. A láncban lejjebb található (1024 bitesnél rövidebb kulcsú) RSA-tanúsítványok blokkolása továbbra is érvényben van. A jelző engedélyezett, ha az érték a következőképp van megadva: CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Engedélyezi a naplózást, de megköveteli az 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványok blokkolását. Ha engedélyezett, a WeakSignatureLogDir szükséges. A megtalált összes, 1024 bitesnél rövidebb kulcs a fizikai WeakSignatureLogDir mappába lesz másolva. A jelző engedélyezett, ha az érték a következőképp van megadva: CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Ha engedélyezett, a gyökértanúsítványnak 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványa is lehet, a WeakSignatureLogDir pedig szükséges. Az 1024 bitesnél rövidebb kulccsal rendelkező gyökértanúsítvány alatt az összes kulcs blokkolva lesz, és a megadott WeakSignatureLogDir mappába lesz naplózva.
8Engedélyezi a naplózást, és nem követeli meg az 1024 bitesnél rövidebb kulcsok blokkolását. Ha engedélyezett, a WeakSignatureLogDir szükséges. A megtalált összes, 1024 bitesnél rövidebb kulcs a fizikai WeakSignatureLogDir mappába lesz másolva. A jelző engedélyezett, ha az érték a következőképp van megadva: CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Példák:

Az 1024 bitesnél rövidebb kulccsal rendelkező RSA-gyökértanúsítványok engedélyezéséhez használja a következő certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 2

Az 1024 bitesnél rövidebb kulccsal rendelkező tanúsítványok blokkolása mellett a naplózás engedélyezéséhez használja a következő certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 4

Ha csak a gyökértanúsítvány alatti, 1024 bitesnél rövidebb kulccsal rendelkező RSA-tanúsítványokat kívánja blokkolni, használja a következő certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 6

Ha csak a naplózást kívánja engedélyezni, de nem kívánja blokkolni az 1024 bitesnél rövidebb kulccsal rendelkező tanúsítványokat, használja a következő certutil parancsot:

certutil -setreg chain\EnableWeakSignatureFlags 8

Megjegyzés: Amikor engedélyezi a naplózást (4, 6 vagy 8 decimális beállítás), a következő szakaszban leírt módon a naplókönyvtárat is konfigurálni kell.

WeakSignatureLogDir

Ha meg van adva, az 1024 bitesnél rövidebb tanúsítványok a megadott mappába lesznek írva. Az érték tartalma lehet például C:\Under1024KeyLog. A beállítás szükséges, ha az EnableWeakSignatureFlags beállítása 4 vagy 8. Győződjön meg arról, hogy úgy konfigurálta a megadott mappa biztonsági beállításait, hogy a Hitelesített felhasználók és a helyi csoport Minden alkalmazáscsomagjának írási hozzáférése legyen. A következő certutil paranccsal állíthatja be ezt az értéket a C:\Under1024KeyLog mappára:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Lehetősége van továbbá beállítani, hogy a WeakSignatureLogDir egy hálózati megosztott mappába írjon. Győződjön meg arról, hogy rendelkezik a hálózati helyhez beállított megfelelő engedélyekkel, hogy az összes beállított felhasználó írhasson a megosztott mappába. A következő parancs egy példa arra, amikor a WeakSignatureLogDir a Server1 kiszolgálón található RSA hálózati megosztott mappában lévő Keys mappába történő írásra van konfigurálva.

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

A WeakRsaPubKeyTime egy olyan 8 bájtos REG_BINARY érték, amely UTC/GMT-ként tárolt Windows FILETIME adattípust tartalmaz. Ez az érték elsősorban a lehetséges problémák csökkentése érdekében érhető el. Blokkolja az 1024 bitesnél rövidebb kulcsokat az Authenticode-aláírások esetében. Nem ellenőrzi a rendszer, hogy a kódoknak a konfigurált dátum és idő előtti aláírásához használt tanúsítványok 1024 bitesnél rövidebb kulcsokkal rendelkeznek-e. Alapértelmezés szerint nincs ilyen beállításérték, és azt 2010. január 1. éjfél (UTC/GMT) időpontként kezeli a rendszer.

Megjegyzés:Ez a beállítás csak akkor alkalmazható, ha egy időbélyegzővel rendelkező fájl Authenticode-aláírással való ellátása egy tanúsítvány használatával történt. Ha a kód nem rendelkezik időbélyegzővel, az aktuális idő lesz használatban, a WeakRsaPubKeyTime beállítás viszont nem lesz használatban.

A WeakRsaPubKeyTime beállítás lehetővé teszi annak a dátumnak a konfigurálását, amelyhez képest a régebbi aláírások érvényesek lesznek. Ha valamely okból a WeakRsaPubKeyTime számára ettől eltérő dátumot és időt adna meg, a certutil használatával ezt megteheti. Ha például a dátumot 2010. augusztus 29-re szeretné állítani, a következő parancsot kellene használnia:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

Ha adott időpontot kell megadnia, például 2011. július 4., 18:00, akkor adja a parancshoz a napok és órák számát a +[dd:hh] formátumban. Mivel a 18:00 18 órával van éjfél után 2011. július 4-én, a következő parancsot kellene futtatnia:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

Tanúsítványok konfigurálása az Internet Information Services (IIS) segítségével

Ha IIS-felhasználó és 1024 bites, vagy hosszabb új tanúsítványokat kell kiállítania, tekintse meg a következő cikkeket:
Az SSL beállítása az IIS 7 használatával
SSL és tanúsítványok az IIS 6 szolgáltatásokban

A megoldás

A következő fájlok letölthetők a Microsoft letöltőközpontjából:


A Windows XP összes támogatott x86-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows XP Professional rendszer összes támogatott x64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2003 összes támogatott x86-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2003 összes támogatott x64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2003 rendszer összes támogatott IA-64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Vista összes támogatott x86-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Vista összes támogatott x64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2008 összes támogatott x86-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2008 összes támogatott x64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2008 rendszer összes támogatott IA-64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows 7 rendszer összes támogatott x86-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows 7 összes támogatott x64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2008 R2 összes támogatott x64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Server 2008 R2 rendszer összes támogatott IA-64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Embedded Standard 7 rendszer összes támogatott x86-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

A Windows Embedded Standard 7 rendszer összes támogatott x64-alapú verziója esetén

A kép összecsukásaA kép kibontása
Letöltés
A csomag letöltése.

Kiadás dátuma: 2012. augusztus 14.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva a fájl jogosulatlan módosítását.

FÁJLINFORMÁCIÓK

A csomagokban található további fájlok listájának megtekintéséhez kattintson az alábbi hivatkozásra:
File attributes tables for security update 2661254.csv
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 2661254 - Utolsó ellenőrzés: 2012. december 26. - Verziószám: 5.0
A cikkben található információ a következő(k)re vonatkozik:
  • Windows 7 Service Pack 1 a következő platformokon
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 a következő platformokon
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 a következő platformokon
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 2 szervizcsomag a Windows Vista rendszerhez a következő platformokon
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Service Pack 1 szervizcsomag a Windows Vista rendszerhez a következő platformokon
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 a következő platformokon
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Kulcsszavak: 
kbSecAdvisory atdownload kbbug kbExpertiseInter kbfix kbsecurity kbsecvulnerability KB2661254
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com