Microsoft Security Advisory: Aktualizacja dotycząca minimalnej długości klucza certyfikatu

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 2661254 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

Firma Microsoft wydała przeznaczony dla informatyków dokument Microsoft Security Advisory. W tym dokumencie poinformowano, że korzystanie z certyfikatów RSA o kluczach krótszych niż 1024 bity zostanie zablokowane. Aby wyświetlić ten dokument, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://technet.microsoft.com/en-us/security/advisory/2661254
Aby ograniczyć ryzyko nieautoryzowanego ujawnienia informacji poufnych, firma Microsoft wydała aktualizację niezwiązaną z zabezpieczeniami (KB 2661254) dla wszystkich obsługiwanych wersji systemu Microsoft Windows. Ta aktualizacja będzie blokować klucze kryptograficzne krótsze niż 1024 bity. Ta aktualizacja nie dotyczy systemów operacyjnych Windows 8 Release Preview i Windows Server 2012 Release Candidate, ponieważ zawierają już one funkcję blokowania używania słabych kluczy RSA (krótszych niż 1024 bity).

Więcej informacji

Siła algorytmów kryptograficznych opartych na kluczach publicznych zależy od czasu, jakiego wymaga wygenerowanie klucza prywatnego metodami siłowymi. Algorytm jest uważany za dostatecznie silny, gdy czas, jakiego wymaga wygenerowanie klucza prywatnego dostępną mocą obliczeniową, jest za długi, aby można było go rzeczywiście wygenerować. Zagrożenia cały czas ewoluują. Dlatego firma Microsoft jeszcze bardziej zaostrza kryteria dotyczące algorytmów RSA z kluczami krótszymi niż 1024 bity.

Po zastosowaniu tej aktualizacji nowe działanie wpływa tylko na łańcuchy certyfikatów konstruowane za pomocą funkcji CertGetCertificateChain. Interfejs CryptoAPI konstruuje łańcuch zaufania certyfikatów i weryfikuje go, sprawdzając okresy ważności, odwołania certyfikatów i zasady certyfikatów (na przykład zamierzone cele). Ta aktualizacja implementuje dodatkowy test zapewniający, że żaden certyfikat w łańcuchu nie będzie mieć klucza RSA krótszego niż 1024 bity.

Informacje o zastępowaniu aktualizacji

Ta aktualizacja zastępuje następującą aktualizację:
2677070 Dostępny jest automatyczny aktualizator odwołanych certyfikatów dla systemów Windows Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2

Znane problemy dotyczące tej aktualizacji zabezpieczeń

Po zastosowaniu tej aktualizacji:
  • Wymagane jest ponowne uruchomienie komputera.
  • Urząd certyfikacji nie może wystawiać certyfikatów RSA z kluczami krótszymi niż 1024 bity.
  • Gdy urząd certyfikacji używa certyfikatu RSA z kluczem krótszym niż 1024 bity, nie można uruchomić usługi urzędu certyfikacji (certsvc).
  • Program Internet Explorer nie zezwala na dostęp do witryn sieci Web zabezpieczanych certyfikatami RSA z kluczami krótszymi niż 1024 bity.
  • Program Outlook 2010 nie umożliwia odszyfrowania wiadomości e-mail używających certyfikatów RSA z kluczami krótszymi niż 1024 bity. Jednak wiadomości e-mail już odszyfrowane za pomocą certyfikatów RSA z kluczami krótszymi niż 1024 bity można odszyfrować po zainstalowaniu tej aktualizacji.
  • Program Outlook 2010 nie umożliwia podpisywania cyfrowego wiadomości e-mail używających certyfikatów RSA z kluczami krótszymi niż 1024 bity.
  • W razie odebrania w programie Outlook 2010 wiadomości e-mail z podpisem cyfrowym lub zaszyfrowanej z zastosowaniem certyfikatu RSA z kluczem krótszym niż 1024 bity użytkownikowi zostanie zwrócony błąd z informacją, że certyfikat jest niezaufany. Użytkownik może mimo to wyświetlić zaszyfrowaną lub podpisaną wiadomość e-mail.
  • Program Outlook 2010 nie może łączyć się z serwerem programu Microsoft Exchange zabezpieczającym sesję SSL/TLS certyfikatem RSA z kluczem krótszym niż 1024 bity. Wyświetlany jest następujący błąd: „Informacje wymieniane z tą witryną nie mogą być wyświetlane ani zmieniane przez inne osoby. Istnieje jednak problem z certyfikatem zabezpieczeń witryny. Certyfikat zabezpieczeń jest nieprawidłowy. Nie należy ufać tej witrynie”.
  • Zgłaszane są ostrzeżenia o zabezpieczeniach „Nieznany wydawca”, ale w następujących przypadkach można kontynuować instalację:
    • Napotkano podpisy Authenticode z sygnaturą czasową nie starszą niż 1 stycznia 2010, utworzone z zastosowaniem certyfikatu RSA z kluczem krótszym niż 1024 bity.
    • Instalatorzy z podpisami utworzonymi z zastosowaniem certyfikatów RSA z kluczami krótszymi niż 1024 bity.
    • Formanty (kontrolki) ActiveX z podpisami utworzonymi z zastosowaniem certyfikatów RSA z kluczami krótszymi niż 1024 bity. Nowe działanie nie wpływa na formanty ActiveX zainstalowane przed zainstalowaniem tej aktualizacji.
  • Komputery HP-UX PA-RISC z oprogramowaniem System Center używające certyfikatów RSA z kluczami o długości 512 bitów będą generować alerty pulsu i wszelkie operacje monitorowania tych komputerów za pomocą programu Operations Manager będą kończyć się niepowodzeniem. Generowany będzie też „błąd certyfikatu SSL” z opisem „weryfikacja podpisanego certyfikatu”. Ponadto program Operations Manager nie będzie odnajdować nowych komputerów HP-UX PA-RISC z powodu błędu „weryfikacja podpisanego certyfikatu”. Klientom z oprogramowaniem System Center i komputerami HP-UX PA-RISC zaleca się ponowne wystawienie certyfikatów RSA z kluczami o długości co najmniej 1024 bitów. Aby uzyskać więcej informacji, odwiedź następującą stronę sieci Web w witrynie TechNet:
    WAŻNE: Po zainstalowaniu przyszłej aktualizacji dla systemu Windows w przypadku komputerów HP-UX PA-RISC monitorowanych za pomocą programu Operations Manager będą występować niepowodzenia pulsu i monitorowania.
Uwaga Ta aktualizacja nie wpływa na szyfrowanie systemu szyfrowania plików (EFS, Encrypting File System).

Odnajdowanie certyfikatów RSA z kluczami krótszymi niż 1024 bity

Istnieją cztery główne metody sprawdzania, czy w użyciu są certyfikaty RSA z kluczami krótszymi niż 1024 bity:
  • Ręczne sprawdzanie certyfikatów i ścieżek certyfikacji
  • Używanie rejestrowania CAPI2
  • Sprawdzanie szablonów certyfikatów
  • Włączanie rejestrowania na komputerach z zainstalowaną aktualizacją

Ręczne sprawdzanie certyfikatów i ścieżek certyfikacji

Certyfikaty można sprawdzić ręcznie, otwierając je i odczytując ich typy, długości kluczy oraz ścieżki certyfikacji. Można to zrobić, wyświetlając (zwykle kliknięciem dwukrotnym) wszystkie certyfikaty wystawione wewnętrznie. Na karcie Ścieżka certyfikacji należy kliknąć przycisk Wyświetl certyfikat dla każdego certyfikatu w łańcuchu, aby upewnić się, że wszystkie certyfikaty RSA mają klucze nie krótsze niż 1024 bity.

Na przykład certyfikat na poniższej ilustracji wystawił główny urząd certyfikacji przedsiębiorstwa AdatumRootCA kontrolerowi domeny 2003DC.adatum.com. Można wybrać certyfikat AdatumRootCA na karcie Ścieżka certyfikacji.

Zwiń ten obrazekRozwiń ten obrazek
2798426


Aby wyświetlić certyfikat AdatumRootCA, należy kliknąć przycisk Wyświetl certyfikat. W okienku Szczegóły należy wybrać pozycję Klucz publiczny, aby wyświetlić rozmiar klucza, tak jak pokazano na poniższej ilustracji.

Zwiń ten obrazekRozwiń ten obrazek
2798427


W tym przykładzie certyfikat RSA urzędu AdatumRootCA ma 2048 bitów.

Używanie rejestrowania CAPI2

Na komputerach z systemem Windows Vista lub Windows Server 2008 albo z nowszymi wersjami systemu Windows klucze krótsze niż 1024 bity można zidentyfikować za pomocą rejestrowania CAPI2. Po okresie normalnego działania komputera można sprawdzić dziennik pod kątem kluczy krótszych niż 1024 bity. Następnie za pomocą uzyskanych w ten sposób informacji można odszukać źródła certyfikatów i wprowadzić odpowiednie aktualizacje.

W tym celu należy najpierw włączyć pełne rejestrowanie diagnostyczne. Aby włączyć pełne rejestrowanie diagnostyczne, wykonaj następujące czynności:

1. Otwórz Edytor rejestru (Regedit.exe).

2. Przejdź do następującego klucza rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Dodaj 32-bitową wartość DWORD DiagLevel o wartości 0x00000005.

4. Dodaj 64-bitową wartość QWORD DiagMatchAnyMask o wartości 0x00ffffff.

Zwiń ten obrazekRozwiń ten obrazek
2798428


Następnie można włączyć rejestrowanie operacyjne CAPI2 w Podglądzie zdarzeń. Dziennik operacyjny CAPI2 znajduje się w Podglądzie zdarzeń w obszarze Dzienniki aplikacji i usług, Microsoft, Windows i CAPI2. Aby włączyć rejestrowanie, kliknij prawym przyciskiem myszy pozycję dziennika Działa kliknij pozycję Włącz dziennik, a następnie kliknij pozycję Filtruj bieżący dziennik. Kliknij kartę XML, a następnie zaznacz kliknięciem pole wyboru Edytuj zapytanie ręcznie.
Zwiń ten obrazekRozwiń ten obrazek
2798429


Po zebraniu informacji w dzienniku można skrócić listę jego wpisów za pomocą poniższego filtru, aby odszukać operacje certyfikatów z kluczami krótszymi niż 1024 bity. Poniższy filtr odszukuje klucze o długości 512 bitów.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Zwiń ten obrazekRozwiń ten obrazek
2798431


Za pomocą jednego zapytania można też wyszukiwać wiele różnych długości kluczy. Na przykład poniższy filtr odszukuje klucze o długości 384 i 512 bitów.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Sprawdzanie szablonów certyfikatów

Uruchamiając poniższe zapytanie dla używanych urzędów certyfikacji, można odnaleźć szablony certyfikatów z kluczami krótszymi niż 1024 bity:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Uwaga To polecenie należy uruchomić w każdym z lasów w organizacji.

Uruchomienie tego zapytania powoduje wyświetlenie szablonów z kluczami krótszymi niż 1024 bity wraz z rozmiarami tych kluczy. Na poniższej ilustracji widać, że dwa z wbudowanych szablonów, SmartcardLogon i SmartcardUser, mają domyślne długości kluczy co najmniej 512 bitów. Mogą też zostać odnalezione inne szablony, które zduplikowano z minimalnymi długościami kluczy poniżej 1024 bitów.

W przypadku każdego odnalezionego szablonu zezwalającego na klucze krótsze niż 1024 bity należy ustalić, czy można wystawić certyfikaty, tak jak pokazano w sekcji Szablony certyfikatów w konsoli Urząd certyfikacji.

Zwiń ten obrazekRozwiń ten obrazek
2798432


Włączanie rejestrowania na komputerach z zainstalowaną aktualizacją

Za pomocą ustawień rejestru można umożliwić komputerom z tą aktualizacją odszukanie certyfikatów RSA z kluczami krótszymi niż 1024 bity. Opcję wdrożenia rejestrowania opisano w sekcji „Rozwiązania”, ponieważ jest ona ściśle związana z ustawieniami rejestru, za pomocą których można zezwalać na klucze krótsze niż 1024 bity. Więcej informacji o tym, jak włączyć rejestrowanie, podano w sekcji „Zezwalanie na klucze krótsze niż 1024 bity za pomocą ustawień rejestru” w dalszej części tego artykułu.

Rozwiązania

Podstawowym rozwiązaniem problemu związanego z blokowaniem certyfikatu z kluczem krótszym niż 1024 bity jest wdrożenie większego certyfikatu, z kluczem o długości co najmniej 1024 bitów. Zaleca się wdrażanie certyfikatów z kluczami o długości co najmniej 2048 bitów.

Zwiększanie rozmiaru klucza certyfikatu wystawionego przez automatyczne rejestrowanie certyfikatów

W przypadku szablonów powodujących wystawianie certyfikatów RSA z kluczami krótszymi niż 1024 bity należy rozważyć zwiększenie minimalnego rozmiaru klucza do co najmniej 1024 bitów. Ma to zastosowanie przy założeniu, że urządzenia, którym te certyfikaty są wystawiane, obsługują większe klucze.

Po zwiększeniu minimalnego rozmiaru klucza należy za pomocą opcji Zarejestruj ponownie wszystkich posiadaczy certyfikatów w Konsoli szablonów certyfikatów polecić komputerom klienckim ponowne zarejestrowanie się i zażądanie większych kluczy.

Zwiń ten obrazekRozwiń ten obrazek
2798433


Jeśli wystawiono certyfikaty za pomocą wbudowanych szablonów Logowanie kartą inteligentną lub Użytkownik karty inteligentnej, nie można bezpośrednio dostosować minimalnego rozmiaru klucza szablonu. Zamiast tego należy zduplikować szablon, zwiększyć rozmiar klucza w duplikacie, a następnie zastąpić szablon pierwotny zduplikowanym.

Zwiń ten obrazekRozwiń ten obrazek
2798435


Po zastąpieniu szablonu należy za pomocą opcji Zarejestruj ponownie wszystkich posiadaczy certyfikatów polecić komputerom klienckim ponowne zarejestrowanie się i zażądanie większych kluczy.

Zwiń ten obrazekRozwiń ten obrazek
2798436


Zezwalanie na klucze krótsze niż 1024 bity za pomocą ustawień rejestru

Firma Microsoft nie zaleca klientom używania certyfikatów krótszych niż 1024 bity. Klienci mogą jednak potrzebować tymczasowego obejścia problemu na czas opracowywania rozwiązania długoterminowego mającego zastąpić certyfikaty RSA z kluczami krótszymi niż 1024 bity. Z myślą o takich przypadkach firma Microsoft udostępnia klientom możliwość zmiany działania tej aktualizacji. Klienci konfigurujący te ustawienia akceptują zagrożenie atakiem, w ramach którego ich certyfikaty mogą zostać złamane i użyte do fałszowania zawartości, wyłudzania informacji lub przechwytywania pakietów na drodze między klientem a serwerem.

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu w przypadku wystąpienia problemu będzie można przywrócić rejestr. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Na komputerach z systemami Windows 8 i Windows Server 2012 oraz zastosowaną tą aktualizacją można za pomocą poniższej ścieżki i ustawień rejestru sterować wykrywaniem i blokowaniem certyfikatów RSA z kluczami krótszymi niż 1024 bity.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Działaniem blokowania kluczy krótszych niż 1024 bity sterują cztery główne wartości. Oto one:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
W kolejnych sekcjach omówiono poszczególne wartości i wyjaśniono, czym sterują.

W systemach operacyjnych od wersji Windows Vista i Windows Server 2008 można zmieniać te ustawienia rejestru za pomocą poleceń certutil. W systemach Windows XP, Windows Server 2003 i Windows Server 2003 R2 nie można zmieniać tych ustawień rejestru za pomocą poleceń certutil. Można jednak używać Edytora rejestru, polecenia reg lub plików reg.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength to wartość DWORD definiująca minimalną dozwoloną długość klucza RSA. Domyślnie tej wartości nie ma, a minimalna dozwolona długość klucza RSA to 1024. Tę wartość można ustawić na 512 za pomocą narzędzia certutil, uruchamiając następujące polecenie:

certutil -setreg chain\minRSAPubKeyBitLength 512

UwagaWszystkie przedstawione w tym artykule polecenia certutil wymagają uprawnień administratora lokalnego, ponieważ zmieniają rejestr. Komunikat „Aby zmiany zostały wprowadzone, może być konieczne ponowne uruchomienie usługi CertSvc” można zignorować. Nie jest to wymagane w przypadku tych poleceń, ponieważ nie wpływają na usługę certyfikatów (CertSvc).

Usuwając tę wartość, można wrócić do blokowania kluczy krótszych niż 1024 bity. W tym celu należy uruchomić następujące polecenie certutil:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Wartość DWORD EnableWeakSignatureFlags może przyjmować wartości 2, 4, 6 i 8. Te ustawienia zmieniają działanie wykrywania i blokowania kluczy o długości krótszej niż 1024 bity. W poniższej tabeli opisano te ustawienia:
Zwiń tę tabelęRozwiń tę tabelę
Wartość dziesiętnaOpis
2Gdy ta wartość jest włączona, certyfikat główny (w trakcie konstruowania łańcucha) może mieć certyfikat RSA z kluczem krótszym niż 1024 bity. Blokowanie certyfikatów RSA z kluczami krótszymi niż 1024 bity na niższych poziomach łańcucha nadal działa. Flaga włączona w przypadku ustawienia tej wartości: CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Włącza rejestrowanie, ale mimo to wymusza blokowanie certyfikatów RSA z kluczami krótszymi niż 1024 bity. Gdy ta wartość jest włączona, jest wymagany folder WeakSignatureLogDir. Wszystkie napotkane klucze krótsze niż 1024 bity są kopiowane do folderu fizycznego WeakSignatureLogDir. Flaga włączona w przypadku ustawienia tej wartości: CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Gdy ta wartość jest włączona, certyfikat główny może mieć certyfikat RSA z kluczem krótszym niż 1024 bity i jest wymagany folder WeakSignatureLogDir. Wszystkie klucze poniżej poziomu certyfikatu głównego krótsze niż 1024 bity są blokowane i rejestrowane w folderze wskazanym jako WeakSignatureLogDir.
8Włącza rejestrowanie i nie wymusza blokowania kluczy krótszych niż 1024 bity. Gdy ta wartość jest włączona, jest wymagany folder WeakSignatureLogDir. Wszystkie napotkane klucze krótsze niż 1024 bity są kopiowane do folderu fizycznego WeakSignatureLogDir. Flaga włączona w przypadku ustawienia tej wartości: CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Przykłady

Aby zezwolić na certyfikat główny RSA z kluczem krótszym niż 1024 bity, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 2

Aby włączyć rejestrowanie, nadal blokując certyfikaty z kluczami krótszymi niż 1024 bity, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 4

Aby włączyć rejestrowanie tylko certyfikatów RSA z kluczami krótszymi niż 1024 bity na poziomie poniżej certyfikatu głównego, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 6

Aby tylko włączyć rejestrowanie, nie blokując kluczy krótszych niż 1024 bity, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 8

Uwaga Włączając rejestrowanie (ustawienia dziesiętne 4, 6 i 8), należy też skonfigurować katalog dziennika zgodnie z opisem w następnej sekcji.

WeakSignatureLogDir

Gdy ta wartość jest zdefiniowana, certyfikaty z kluczami krótszymi niż 1024 bity są zapisywane w określonym folderze. Jako danych tej wartości można na przykład użyć folderu C:\dziennik_kluczy_krótszych_niż_1024. Ta opcja jest wymagana, gdy dla ustawienia EnableWeakSignatureFlags skonfigurowano wartość 4 lub 8. Dla wskazanego folderu należy tak skonfigurować zabezpieczenia, aby grupa Użytkownicy uwierzytelnieni i grupa lokalna Wszystkie pakiety aplikacji miały do niego dostęp z możliwością modyfikowania go. Aby jako tę wartość ustawić folder C:\dziennik_kluczy_krótszych_niż_1024, można uruchomić następujące polecenie certutil:

Certutil -setreg chain\WeakSignatureLogDir "C:\dziennik_kluczy_krótszych_niż_1024"

Wartość WeakSignatureLogDir można też tak skonfigurować, aby zapisu dokonywać w udostępnionym folderze sieciowym. Należy się upewnić, że dla danej lokalizacji sieciowej skonfigurowano odpowiednie uprawnienia, aby wszyscy skonfigurowani użytkownicy mogli zapisywać w tym folderze udostępnionym. Poniższe polecenie służy na przykład do skonfigurowania zmiennej WeakSignatureLogDir w celu zapisywania w folderze Klucze, który znajduje się w udostępnionym folderze sieciowym o nazwie RSA na serwerze Serwer1:

Certutil -setreg chain\WeakSignatureLogDir "\\serwer1\rsa\klucze"

WeakRsaPubKeyTime

WeakRsaPubKeyTime to 8-bajtowa wartość REG_BINARY zawierająca typ danych czasu pliku (FILETIME) systemu Windows przechowywany w formacie czasu UTC/GMT. Tę wartość udostępniono przede wszystkim w celu ograniczenia potencjalnych problemów związanych z blokowaniem kluczy krótszych niż 1024 bity dla podpisów Authenticode. Certyfikaty użyte do podpisania kodu przed skonfigurowaną datą i godziną nie są sprawdzane pod kątem kluczy krótszych niż 1024 bity. Domyślnie tej wartości rejestru nie ma, a jako odpowiedni punkt w czasie przyjmuje się północ 1 stycznia 2010 (UTC/GMT).

UwagaTo ustawienie ma zastosowanie tylko w razie użycia certyfikatu do podpisania pliku z sygnaturą czasową w technologii Authenticode. Jeśli kod nie ma sygnatury czasowej, używany jest czas bieżący, a ustawienie WeakRsaPubKeyTime nie jest stosowane.

Ustawienie WeakRsaPubKeyTime umożliwia skonfigurowanie daty, dla której starsze podpisy mają być uznawane za ważne. Jeśli z jakichś powodów należy skonfigurować inną datę i godzinę w zmiennej WeakRsaPubKeyTime, można to zrobić za pomocą polecenia certutil. Aby na przykład ustawić datę 29 sierpnia 2010, można użyć następującego polecenia:

certutil -setreg chain\WeakRsaPubKeyTime @2010-08-29

Jeśli trzeba ustawić konkretną godzinę, na przykład 18:00 dnia 4 lipca 2011, należy dodać do polecenia liczbę dni i godzin w formacie +[dd:gg]. Ponieważ 18:00 przypada 18 godzin po północy 4 lipca 2011, należy uruchomić następujące polecenie:

certutil -setreg chain\WeakRsaPubKeyTime @2011-01-15+00:18

Konfigurowanie certyfikatów w programie Internet Information Services (IIS)

Klienci z programem IIS, którzy chcą wystawiać nowe certyfikaty o długości 1024 bitów lub dłuższe, powinni zapoznać się z tymi artykułami:  
Jak skonfigurować protokół SSL w programie IIS 7
Protokół SSL i certyfikaty w programie IIS 6

Rozwiązanie

Następujące pliki są dostępne do pobrania w Centrum pobierania Microsoft:


Wszystkie obsługiwane wersje systemu Windows XP dla systemów opartych na procesorach x86

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows XP Professional x64 Edition

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2003 dla systemów opartych na procesorach x86

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2003 dla systemów opartych na procesorach x64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2003 dla systemów opartych na procesorach IA-64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Vista dla systemów opartych na procesorach x86

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Vista dla systemów opartych na procesorach x64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach x86

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach x64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach IA-64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 7 dla systemów opartych na procesorach x86

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 7 dla systemów opartych na procesorach x64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 R2 dla systemów opartych na procesorach x64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 R2 dla systemów opartych na procesorach IA-64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Embedded Standard 7 dla systemów opartych na procesorach x86

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Embedded Standard 7 dla systemów opartych na procesorach x64

Zwiń ten obrazekRozwiń ten obrazek
Plik do pobrania
Pobierz pakiet teraz.

Data wydania: 14 sierpnia 2012

Aby uzyskać więcej informacji dotyczących sposobów pobierania plików pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki pomocy technicznej firmy Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w dniu opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonym poziomie zabezpieczeń, które utrudniają wprowadzanie nieautoryzowanych zmian w pliku.

INFORMACJE O PLIKACH

Aby uzyskać listę plików udostępnianych w tych pakietach, kliknij łącze poniżej:
Tabele atrybutów plików dla aktualizacji zabezpieczeń 2661254.csv

Właściwości

Numer ID artykułu: 2661254 - Ostatnia weryfikacja: 26 grudnia 2012 - Weryfikacja: 6.0
Informacje zawarte w tym artykule dotyczą:
  • Windows 7 Service Pack 1 na następujących platformach
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 na następujących platformach
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 na następujących platformach
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Dodatek Service Pack 2 do systemu Windows Vista na następujących platformach
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Dodatek Service Pack 1 do systemu Windows Vista na następujących platformach
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2 na następujących platformach
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 na następujących platformach
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Słowa kluczowe: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability KB2661254

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com