Penasehat Microsoft Security: Update untuk panjang bukti kunci minimal sertifikat

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2661254 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

PENGENALAN

Microsoft telah merilis penasihat keamanan Microsoft untuk profesional TI. Penasihat ini mengumumkan bahwa penggunaan sertifikat RSA yang memiliki bukti kunci yang kurang dari 1024 bit akan diblokir. Untuk melihat penasehat keamanan, pergi ke website Microsoft berikut:
http://technet.Microsoft.com/Security/Advisory/2661254
Untuk mengurangi risiko tidak sah informasi sensitif, Microsoft telah merilis update nonsecurity (KB 2661254) untuk semua didukung versi Microsoft Windows. Pembaruan ini akan memblokir bukti kunci kriptografi yang kurang dari 1024 bit. Pembaruan ini tidak sahih untuk Windows 8 rilis Preview atau Windows Server 2012 Release Candidate karena sistem operasi ini sudah menyertakan fungsionalitas untuk memblokir penggunaan lemah bukti kunci RSA yang kurang dari 1024 bit.

Informasi lebih lanjut

Kekuatan algoritma kriptografi bukti kunci publik berbasis ditentukan oleh waktu yang dibutuhkan untuk memperoleh private key dengan menggunakan metode brute-force. Algoritma ini dianggap untuk menjadi kuat cukup Kapan waktu yang dibutuhkan untuk memperoleh private key cukup mahal dengan menggunakan kekuatan komputasi di pembuangan. Lanskap ancaman yang terus berkembang. Oleh karena itu, Microsoft lebih lanjut pengerasan kriteria untuk algoritma RSA dengan panjang bukti kunci yang kurang dari 1024 bit.

Setelah update diterapkan, hanya sertifikat rantai yang dibangun dengan menggunakan CertGetCertificateChain fungsi yang terpengaruh. CryptoAPI membangun jaringan kepercayaan sertifikat dan memvalidasi bahwa jaringan dengan menggunakan waktu validitas, pencabutan sertifikat, dan sertifikat kebijakan (seperti maksud-maksud). Update mengimplementasikan pemeriksaan tambahan untuk memastikan bahwa tidak ada sertifikat dalam rantai memiliki panjang bukti kunci RSA kurang dari 1024 bit.

Informasi penggantian pembaruan

Pembaruan ini menggantikan pembaruan berikut:
2677070 Updater otomatis sertifikat yang dibatalkan tersedia untuk Windows Vista, Windows Server 2008, Windows 7 dan Windows Server 2008 R2

Masalah yang dikenal dengan pembaruan keamanan

Setelah update diterapkan:
  • Restart diperlukan.
  • (CA otoritas sertifikasi) tidak dapat mengeluarkan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit.
  • CA Layanan (certsvc) tidak dapat memulai ketika CA menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit.
  • Internet Explorer tidak akan mengizinkan akses ke situs web yang aman dengan menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit.
  • Outlook 2010 tidak dapat digunakan untuk mengenkripsi email jika menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit. Namun, email yang telah dienkripsi dengan menggunakan sertifikat RSA dengan panjang bukti kunci yang kurang dari 1024 bit dapat didekripsi setelah pembaruan telah diinstal.
  • Outlook 2010 tidak dapat digunakan untuk menandatangani digital email jika menggunakan sertifikat RSA yang memiliki panjang bukti kunci yang kurang dari 1024 bit.
  • Ketika email yang diterima di Outlook 2010 yang memiliki tanda tangan digital atau dienkripsi dengan menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit, pengguna akan menerima pesan kesalahan yang menyatakan bahwa Sertifikat tidak terpercaya. Pengguna masih dapat melihat email dienkripsi atau ditandatangani.
  • Outlook 2010 tidak dapat tersambung ke server Microsoft Exchange yang menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit SSL/TLS. Kesalahan berikut akan ditampilkan: "informasi Anda bertukar dengan situs ini tidak dapat melihat atau mengubah oleh orang lain. Namun, ada masalah dengan sertifikat keamanan situs. Sertifikat keamanan ini tidak sahih. Situs tidak dapat dipercaya."
  • Peringatan keamanan "Tidak diketahui penerbit" dilaporkan, tetapi dapat melanjutkan instalasi dalam kasus berikut:
    • Authenticode tanda tangan itu waktu dicap pada Januari 1, 2010 atau di kemudian hari, dan yang ditandatangani dengan sertifikat dengan menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit ditemui.
    • Menandatangani installer ditandatangani menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit.
    • kendali ActiveX yang ditandatangani menggunakan sertifikat RSA yang memiliki panjang bukti kunci kurang dari 1024 bit. Kontrol aktif X yang sudah diinstal sebelum Anda menginstal pembaruan ini tidak akan terpengaruh.
  • Sistem pusat HP-UX PA-RISC komputer yang menggunakan sertifikat RSA dengan panjang bukti kunci 512 bit akan menghasilkan tanda detak jantung dan semua Operations Manager monitoring komputer akan gagal. "Error sertifikat SSL" juga akan dihasilkan dengan deskripsi "menandatangani sertifikat verifikasi." Juga, Operations Manager tidak akan menemukan komputer HP-UX PA-RISC baru karena kesalahan "menandatangani sertifikat verifikasi". System Center Pelanggan yang memiliki komputer HP-UX PA-RISC didorong untuk diterbitkan ulang sertifikat RSA dengan panjang bukti kunci setidaknya 1024 bit. Untuk informasi lebih lanjut, pergi ke halaman web TechNet berikut:
    PENTING: HP-UX PA-RISC komputer dipantau oleh Operations Manager akan mengalami detak jantung dan pemantauan kegagalan setelah update Windows mendatang
Catatan EFS enkripsi tidak terpengaruh oleh pembaruan.

Temukan RSA sertifikat dengan bukti kunci panjang kurang dari 1024 bit

Ada empat metode utama untuk menemukan jika RSA sertifikat dengan bukti kunci kurang dari 1024 bit yang digunakan:
  • Periksa sertifikat dan sertifikasi garis jatuh berseri secara manual
  • Menggunakan CAPI2 logging
  • Periksa sertifikat template
  • Mengaktifkan pengelogan pada komputer yang memiliki pembaruan diinstal

Periksa sertifikat dan sertifikasi garis jatuh berseri secara manual

Anda dapat memeriksa sertifikat secara manual dengan membukanya dan melihat jenis, panjang bukti kunci, dan sertifikasi jalan mereka. Anda dapat melakukan ini dengan melihat (biasanya dengan mengklik dua kali) sertifikat yang dikeluarkan secara internal. Pada tab Sertifikasi jalan , klik Lihat Sertifikat untuk setiap sertifikat dalam rantai untuk memastikan bahwa semua sertifikat RSA menggunakan setidaknya 1024 bit bukti kunci panjang.

Misalnya, sertifikat dalam gambar berikut dikeluarkan ke pengendali domain (2003DC.adatum.com) dari CA Enterprise akar yang bernama AdatumRootCA. Anda dapat memilih sertifikat AdatumRootCA pada tab Sertifikasi jalan .

Perkecil gambar iniPerbesar gambar ini
Sertifikasi jalan tab


Untuk melihat AdatumRootCA sertifikat, klik Lihat Sertifikat. Di panel rincian , pilih bukti kunci publik untuk melihat ukuran bukti kunci, seperti yang ditunjukkan dalam gambar berikut.

Perkecil gambar iniPerbesar gambar ini
Lihat Sertifikat


Sertifikat RSA untuk AdatumRootCA dalam contoh ini adalah kode sepanjang 2048 bit.

Menggunakan CAPI2 logging

Pada komputer yang menjalankan Windows Vista atau Windows Server 2008 atau versi Windows, Anda dapat menggunakan CAPI2 log untuk membantu mengidentifikasi bukti kunci yang memiliki panjang kurang dari 1024 bit. Anda kemudian dapat memungkinkan komputer untuk melakukan operasi seperti biasa mereka dan kemudian periksa log untuk membantu mengidentifikasi bukti kunci yang memiliki panjang kurang dari 1024 bit. Kemudian, Anda kemudian dapat menggunakan informasi tersebut untuk melacak sumber sertifikat dan membuat pemutakhiran yang diperlukan.

Untuk melakukan ini, Anda harus terlebih dulu mengaktifkan pendataan diagnostik verbose. Untuk mengaktifkan pendataan verbose mode, ikuti langkah berikut:

1. Buka Registry Editor (Regedit.exe).

2. Navigasikan ke bukti kunci registri berikut:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Tambahkan DWORD (32-bit) nilai DiagLevel dengan nilai 0x00000005.

4. Tambahkan QWORD (64-bit) nilai DiagMatchAnyMask dengan nilai 0x00ffffff.

Perkecil gambar iniPerbesar gambar ini
DiagMatchAnyMask


Setelah Anda melakukan ini, Anda dapat mengaktifkan CAPI2 operasional log dalam acara penampil. Log operasional CAPI2 terletak di bawah aplikasi dan layanan log, Microsoft, Windows, dan CAPI2 di penampil aktivitas. Untuk mengaktifkan pengelogan, klik kanan-atas log operasional , klik Mengaktifkan Log, lalu klik Penyaring Log saat ini. Klik XML tab, dan kemudian klik untuk memilih Mengedit permintaan secara manual kotak centang.
Perkecil gambar iniPerbesar gambar ini
Mengaktifkan Log


Setelah Anda telah mengumpulkan log, Anda dapat menggunakan filter berikut untuk mengurangi jumlah entri yang harus Anda throughto menemukan sertifikat operasi pencarian dengan bukti kunci yang memiliki panjang kurang dari 1024 bit. Filter berikut Telisik bukti kunci bit 512.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]] dan UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]</Select>

</Query>

</QueryList>

Perkecil gambar iniPerbesar gambar ini
Penyaring log saat ini


Anda juga dapat permintaan untuk beberapa bukti kunci panjang dengan permintaan tunggal. Sebagai contoh, berikut filter permintaan untuk 384-bit bukti kunci dan bukti kunci 512-bit.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384 ']]] dan UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]] atau Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]] dan UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]</Select>

</Query>

</QueryList>

Periksa sertifikat template

Anda dapat menjalankan query berikut pada otoritas sertifikasi Anda (CAs) untuk menemukan template sertifikat yang menggunakan tombol tekan kurang dari 1024 bit:

certutil - dstemplate | findstr "[msPKI-Minimal-kunci-ukuran" | findstr/v "1024 2048 4096"

Catatan Anda harus menjalankan perintah di hutan setiap di organisasi Anda.

Jika Anda menjalankan query ini, template yang menggunakan tombol tekan yang lebih kecil dari 1024 bit akan ditampilkan dengan ukuran bukti kunci mereka. Gambar berikut menunjukkan bahwa dua built-in template, SmartcardLogon dan SmartcardUser, memiliki panjang bukti kunci default yang memiliki ukuran minimum dari bukti kunci bit 512. Anda juga dapat menemukan template lain yang digandakan dengan minimum bukti kunci ukuran kurang dari 1024 bit.

Untuk setiap template yang Anda temukan yang memungkinkan kurang dari bukti kunci 1024-bit, Anda harus menentukan apakah itu dimungkinkan untuk menerbitkan sertifikat seperti yang ditunjukkan di bagian Template sertifikat otoritas sertifikasi konsol.

Perkecil gambar iniPerbesar gambar ini
Sertifikat Bagian Templat


Mengaktifkan pengelogan pada komputer yang memiliki pembaruan diinstal

Anda dapat menggunakan pengaturan registri untuk mengaktifkan komputer yang memiliki update yang diterapkan untuk menemukan RSA sertifikat dengan bukti kunci panjang kurang dari 1024 bit. Opsi untuk melaksanakan pendataan dijelaskan di bagian "Resolusi" karena erat digabungkan dengan tataan registri yang dapat digunakan untuk memungkinkan bukti kunci panjang kurang dari 1024 bit. Lihat bagian "Izinkan bukti kunci panjang kurang dari 1024 bit dengan menggunakan pengaturan registri" nanti dalam artikel ini untuk informasi lebih lanjut tentang cara mengaktifkan pengelogan.

Resolusi

Resolusi utama untuk setiap masalah yang berkaitan dengan pemblokiran sertifikat yang memiliki panjang bukti kunci kurang dari 1024 bit adalah untuk menerapkan lebih besar (panjang bukti kunci 1024-bit atau lebih besar) sertifikat. Sebaiknya pengguna menerapkan sertifikat yang memiliki panjang bukti kunci setidaknya 2048 bit.

Meningkatkan ukuran bukti kunci untuk sertifikat yang dikeluarkan melalui sertifikat autoenrollment

Untuk template yang menerbitkan sertifikat RSA dengan panjang bukti kunci kurang dari 1024 bit, Anda harus mempertimbangkan meningkatkan ukuran bukti kunci minimum untuk pengaturan setidaknya 1024 bit. Ini mengasumsikan bahwa peranti penangkap yang sertifikat berikut dikeluarkan mendukung ukuran bukti kunci yang lebih besar.

Setelah Anda meningkatkan ukuran bukti kunci minimum, menggunakan opsi Reenroll pemegang sertifikat semua di Sertifikat template konsol untuk menyebabkan klien komputer untuk Reenroll dan meminta bukti kunci ukuran yang lebih besar.

Perkecil gambar iniPerbesar gambar ini
SmartCard log masuk


Jika Anda telah mengeluarkan sertifikat dengan menggunakan built-in Smartcard log masuk atau Smartcard pengguna template, Anda akan mampu menyesuaikan ukuran bukti kunci minimum template secara langsung. Sebaliknya, Anda akan memiliki untuk menduplikasi template, meningkatkan ukuran bukti kunci pada template diduplikasi, dan kemudian menggantikan template asli dengan template digandakan.

Perkecil gambar iniPerbesar gambar ini
Diperbarui Smartcard log masuk properti


Setelah Anda menggantikan template, menggunakan opsi Reenroll semua pemegang sertifikat untuk menyebabkan klien komputer untuk Reenroll dan meminta bukti kunci ukuran yang lebih besar.

Perkecil gambar iniPerbesar gambar ini
Reenroll semua pemegang sertifikat


Memungkinkan bukti kunci panjang kurang dari 1024 bit dengan menggunakan pengaturan registri

Microsoft tidak menganjurkan pelanggan menggunakan sertifikat kurang dari 1024 bit. Pelanggan namun mungkin memerlukan solusi sementara sementara solusi jangka panjang dikembangkan untuk mengganti sertifikat RSA dengan panjang bukti kunci kurang dari panjang 1024 bit. Dalam kasus ini, Microsoft menyediakan pelanggan kemampuan untuk mengubah cara fungsi update. Mengkonfigurasi pengaturan ini pelanggan menerima risiko bahwa seorang penyerang dapat mematahkan sertifikat mereka dan menggunakan mereka untuk spoof konten, melakukan serangan phishing atau melakukan serangan pria-di-the-tengah.

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri pada Windows
Pada Windows 8 atau komputer berbasis Windows Server 2012 yang memiliki update yang diterapkan, registry path dan pengaturan berikut dapat digunakan untuk mengontrol Deteksi dan memblokir sertifikat RSA dengan kurang dari panjang bukti kunci 1024-bit.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Ada empat nilai-nilai utama yang mengontrol bagaimana tombol tekan di bawah 1024 bit menghalangi karya. Ini adalah sebagai berikut:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
Masing-masing nilai-nilai ini dan apa yang mereka mengendalikan dibahas dalam bagian berikut.

Untuk sistem operasi dimulai dengan Windows Vista dan Windows Server 2008, Anda dapat menggunakan certutil perintah untuk mengubah pengaturan registri ini. Pada Windows XP, Windows Server 2003 dan Windows Server 2003 R2, Anda tidak dapat menggunakan certutil perintah untuk mengubah pengaturan registri ini. Namun, Anda dapat menggunakan Registry Editor, reg perintah, atau reg file.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength adalah nilai DWORD yang mendefinisikan diperbolehkan RSA bukti kunci panjang minimum. secara asali, nilai ini tidak hadir, dan minimum diizinkan panjang bukti kunci RSA adalah 1024. Anda dapat menggunakan certutil untuk menetapkan nilai ini ke 512 dengan menjalankan perintah berikut:

certutil - setreg chain\minRSAPubKeyBitLength 512

CatatanSemua Perintah certutil yang ditampilkan dalam artikel ini memerlukan hak Administrator lokal karena mereka mengubah registri. Anda dapat mengabaikan pesan yang berbunyi "Layanan CertSvc mungkin harus dihidupkan ulang agar perubahan diterapkan." Itu tidak diperlukan untuk perintah tersebut karena mereka tidak mempengaruhi Layanan sertifikat (CertSvc).

Anda dapat kembali ke memblokir bukti kunci yang memiliki panjang kurang bit than1024 dengan menghapus nilai. Untuk melakukan ini, jalankan perintah certutil berikut:

certutil - delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Nilai DWORD EnableWeakSignatureFlags memiliki tiga nilai potensial: 2, 4, 6, dan 8. pengaturan ini mengubah perilaku bagaimana tombol tekan di bawah 1024 bit Deteksi dan menghalangi karya. Pengaturan yang dijelaskan di Daftar Tabel berikut:
Perkecil tabel iniPerbesar tabel ini
Nilai desimalDeskripsi
2Ketika diaktifkan, sertifikat akar (selama jaringan bangunan) yang diperbolehkan untuk memiliki sertifikat RSA dengan panjang bukti kunci kurang dari 1024 bit. Memblokir sertifikat RSA lebih rendah di rantai (jika mereka memiliki kurang dari 1024 bit kunci) itu masih berlaku. Bendera diaktifkan bila nilai ini diatur adalah sebagai CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Pendataan, tapi masih memberlakukan memblokir RSA sertifikat dengan bukti kunci kurang dari 1024 bit. Ketika diaktifkan, WeakSignatureLogDir diperlukan. Semua bukti kunci dengan kurang dari panjang 1024-bit yang dihadapi akan disalin ke folder WeakSignatureLogDir fisik. Bendera diaktifkan bila nilai ini diatur sebagai CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Ketika diaktifkan, sertifikat akar diperbolehkan untuk memiliki sertifikat RSA dengan bukti kunci kurang dari 1024 bit dan WeakSignatureLogDir diperlukan. Semua tombol tekan di bawah sertifikat akar yang memiliki bukti kunci kurang dari 1024 bit diblokir dan login ke folder yang ditentukan sebagai WeakSignatureLogDir.
8Pendataan dan tidak menegakkan memblokir bukti kunci yang memiliki panjang kurang dari 1024 bit. Ketika diaktifkan, WeakSignatureLogDir diperlukan. Semua bukti kunci yang dihadapi yang memiliki panjang kurang dari 1024 bit akan disalin ke folder WeakSignatureLogDir fisik. Bendera diaktifkan bila nilai ini diatur adalah sebagai CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Contoh

Untuk mengaktifkan akar sertifikat RSA memiliki panjang bukti kunci kurang dari 1024 bit, gunakan perintah certutil berikut:

certutil - setreg chain\EnableWeakSignatureFlags 2

Untuk mengaktifkan pendataan sementara masih blocking sertifikat yang menggunakan panjang bukti kunci kurang dari 1024 bit, gunakan perintah certutil berikut:

certutil - setreg chain\EnableWeakSignatureFlags 4

Untuk mengaktifkan pendataan hanya RSA sertifikat di bawah sertifikat akar yang memiliki panjang bukti kunci kurang dari 1024 bit, gunakan perintah certutil berikut:

certutil - setreg chain\EnableWeakSignatureFlags 6

Untuk mengaktifkan pendataan hanya dan tidak menghalangi bukti kunci panjang kurang dari 1024 bit, gunakan perintah certutil berikut:

certutil - setreg chain\EnableWeakSignatureFlags 8

Catatan Saat mengaktifkan pendataan (desimal pengaturan 4, 6 atau 8), Anda juga harus mengkonfigurasi direktori log seperti dijelaskan dalam bagian berikutnya.

WeakSignatureLogDir

Ketika didefinisikan, sertifikat yang memiliki panjang bukti kunci kurang dari 1024 bit ditulis ke folder tertentu. Sebagai contoh, C:\Under1024KeyLog bisa data untuk nilai ini. Opsi ini diperlukan bila EnableWeakSignatureFlags diatur ke 4 atau 8. Pastikan bahwa Anda mengkonfigurasi keamanan pada folder tertentu sehingga Authenticated pengguna dan grup lokal Semua paket aplikasi telah memodifikasi akses. Untuk menetapkan nilai ini untuk C:\Under1024KeyLog, Anda dapat menggunakan perintah certutil berikut:

Certutil - setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Anda juga dapat mengkonfigurasi WeakSignatureLogDir untuk menulis ke jaringan berbagi folder. Pastikan bahwa Anda memiliki izin yang sesuai yang dikonfigurasi untuk lokasi jaringan sehingga semua dikonfigurasi pengguna dapat menulis ke folder berbagi. Perintah berikut ini adalah contoh konfigurasi WeakSignatureLogDir untuk menulis ke sebuah folder bernama bukti kunci yang ada di dalam jaringan berbagi folder bernama RSA pada Server1:

Certutil - setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime merupakan 8 byte REG_BINARY nilai yang berisi jenis data Windows FILETIME yang disimpan sebagai UTC GMT. Nilai ini tersedia terutama untuk mengurangi potensi masalah pemblokiran bukti kunci yang memiliki panjang kurang dari 1024 bit untuk tanda tangan Authenticode. Sertifikat yang digunakan untuk menandatangani kode sebelum dikonfigurasi tanggal dan waktu ini tidak diperiksa untuk bukti kunci yang memiliki panjang kurang dari 1024 bit. secara asali nilai registri ini tidak hadir dan diperlakukan sebagai pagi 1 Januari 2010 pada tengah malam UTC GMT.

CatatanPengaturan ini hanya berlaku untuk kapan sertifikat digunakan untuk Authenticode sign file waktu dicap. Jika kode ini tidak waktu dicap, kemudian saat digunakan dan pengaturan WeakRsaPubKeyTime tidak digunakan.

Pengaturan WeakRsaPubKeyTime memungkinkan untuk konfigurasi tanggal yang memperhatikan tanda tangan anak berlaku. Jika Anda memiliki alasan untuk menetapkan tanggal yang berbeda dan waktu untuk WeakRsaPubKeyTime, Anda akan dapat menggunakan certutil untuk menetapkan tanggal berbeda. Sebagai contoh, jika Anda ingin menetapkan tanggal untuk 29 Agustus 2010, Anda dapat menggunakan perintah berikut:

certutil - setreg chain\WeakRsaPubKeyTime @08/29/2010

Jika Anda harus menetapkan waktu tertentu, seperti 6:00 pada tanggal 4 Juli 2011, kemudian tambahkan jumlah hari dan jam dalam format + [dd:hh] perintah. Karena 6:00 PM 18 jam setelah tengah malam pada tanggal 4 Juli 2011, Anda akan menjalankan perintah berikut:

certutil - setreg chain\WeakRsaPubKeyTime @01/15/2011 + 00:18

Mengkonfigurasi sertifikat pada layanan informasi Internet (IIS)

Jika Anda adalah pelanggan IIS yang harus mengeluarkan sertifikat baru yang 1024 bit atau lagi, lihat artikel berikut:
Cara mengatur SSL pada IIS 7
SSL dan sertifikat dalam IIS 6

Pemecahan masalah

Berkas berikut tersedia untuk di-download dari Microsoft Download Center:


Untuk semua didukung x 86 berbasis versi Windows XP

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung versi berbasis x 64 Windows XP Professional x 64 Edition

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung x 86 berbasis versi Windows Server 2003

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung versi berbasis x 64 Windows Server 2003

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung IA-64 berbasis versi Windows Server 2003

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung x 86 berbasis versi Windows Vista

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung versi berbasis x 64 Windows Vista

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung x 86 berbasis versi Windows Server 2008

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung versi berbasis x 64 Windows Server 2008

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua dukungan terhadap versi Windows Server 2008 berbasis IA-64

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua dukungan terhadap versi Windows 7 yang berbasis x86

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung versi berbasis x 64 Windows 7

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung x versi berbasis 64 dari Windows Server 2008 R2

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung IA-64 berbasis versi Windows Server 2008 R2

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung x 86 berbasis versi Windows 7 standar tertanam

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Untuk semua didukung versi berbasis x 64 Windows 7 standar tertanam

Perkecil gambar iniPerbesar gambar ini
Download
Download paket sekarang.

Tanggal rilis: 14 Agustus 2012

Untuk informasi lebih lanjut tentang cara mengunduh berkas dukungan Microsoft, klik nomor artikel berikut ini untuk melihat artikel tersebut di dalam Pangkalan Pengetahuan Microsoft:
119591 Cara mendapatkan berkas dukungan Microsoft dari layanan online
Microsoft memindai berkas untuk virus. Microsoft menggunakan peranti penangkap lunak pendeteksi virus terbaru yang tersedia pada tanggal yang file telah diposting. Berkas tersebut disimpan pada server aman yang membantu mencegah segala perubahan tidak sah terhadap berkas.

INFORMASI FILE

Untuk daftar file yang disediakan dalam paket ini, klik link berikut:
Atribut file Daftar Tabel untuk keamanan update 2661254.csv

Properti

ID Artikel: 2661254 - Kajian Terakhir: 21 April 2013 - Revisi: 5.0
Berlaku bagi:
  • Windows 7 Service Pack 1, ketika digunakan dengan:
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, ketika digunakan dengan:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, ketika digunakan dengan:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2, ketika digunakan dengan:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit Edition
    • Windows Vista Home Basic 64-bit Edition
    • Windows Vista Home Premium 64-bit Edition
    • Windows Vista Ultimate 64-bit Edition
    • Windows Vista Business 64-bit Edition
  • Windows Vista Service Pack 1, ketika digunakan dengan:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit Edition
    • Windows Vista Home Basic 64-bit Edition
    • Windows Vista Home Premium 64-bit Edition
    • Windows Vista Ultimate 64-bit Edition
    • Windows Vista Business 64-bit Edition
  • Microsoft Windows Server 2003 Service Pack 2, ketika digunakan dengan:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, ketika digunakan dengan:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Kata kunci: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability kbmt KB2661254 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2661254

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com