Microsoft Security poradn�: Aktualiz�cia pre d�ku k���a minim�lne osved�enie

Spolo�nos� Microsoft vydala zabezpe?enia pre profesion�lov. T�to poradn� oznamuje, �e pou��vanie certifik�ty RSA k���e, ktor� s� menej ako 1024 bitov dlh�, bud� blokovan�. Odpor�?anie, n�jdete na nasledovn�ch webovej lokalite Microsoft:Na zn�enie rizika expoz�cie neopr�vnen�ch citliv�ch inform�ci�, spolo�nos� Microsoft vydala aktualiz�ciu nonsecurity (KB 2661254) pre v�etky podporovan� verzie syst�mu Microsoft Windows. T�to aktualiz�cia bude blokova� kryptografick� k���e, ktor� s� menej ako 1024 bitov dlh�. T�to aktualiz�cia sa nevz�ahuje na Windows 8 Release Uk�ka alebo Windows Server 2012 Release Candidate, preto�e tieto opera�n� syst�my u� obsahova� funkcie zablokova� pou�itie slab� RSA k���e, ktor� s� menej ako 1024 bitov dlh�.

Pevnos� zalo�en� na k���i verejnosti Kryptografick� algoritmy ur�uje �as, ktor� trv� na odvodenie s�kromn�ho k���a pomocou met�dami hrubej sily. Algoritmus sa pova�uje za siln� dost, ke� �as, ktor� trv� na odvodenie s�kromn� k��� je dostato�ne prohibit�vne pou�it�m v�po�tov�ho v�konu k dispoz�cii. Hrozba krajiny sa �alej vyv�ja�. Microsoft je preto �alej kalenie krit�ri� pre algoritmus RSA s d�ky k���ov, ktor� s� menej ako 1024 bitov dlh�.

Po aktualiz�cii sa uplat�uje, len osved�enia re�azce, ktor� s� postaven� pomocou CertGetCertificateChain

(http://msdn.microsoft.com/library/windows/desktop/aa376078.aspx)

funkcie ovplyvnen�. Rozhranie CryptoAPI stavia Certifika�n� re�az d�very a overuje toto zre�azenie pomocou �asov� platnos� a zru�enie certifik�tov osved�enie politiky (ako je napr�klad ur�en� ��ely). Aktualiz�cia implementuje dodato�n� kontrola presved�i� sa, �e �iadne certifik�ty v re�azi nem� d�ku k���a RSA menej ako 1024 bitov.

Zn�me probl�my pri t�to aktualiz�ciu zabezpe�enia

Po aktualiz�cii sa uplatn�:

• Vy�aduje sa re�tartovanie.
• vyd�vaj�ca certifika�n� autorita (CA) nem��e vyda� osved�enia RSA, ktor� maj� d�ku k���a menej ako 1024 bitov.
• CA slu�by (certsvc) sa ned� spusti�, ke� vyd�vaj�ca certifika�n� autorita je pomocou RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov.
• Internet Explorer neumo�n� pr�stup na str�nky, ktor� je zabezpe�en� pomocou RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov.
• Program Outlook 2010 sa ned� pou�i� na �ifrovanie e-mailu, ak je pomocou RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov. Av�ak, e-mail, ktor� u� boli za�ifrovan� s pou�it�m certifik�tu RSA s d�ku k���a, ktor� je menej ako 1024 bitov m��e de�ifrova�, po nain�talovan� aktualiz�cie.
• Program Outlook 2010 sa nem��e pou�i� na digit�lne podpisovanie e-mailu, ak je pomocou RSA certifik�t, ktor� m� d�ku k���a, ktor� je menej ako 1024 bitov.
• Ke� e-mailu v programe Outlook 2010, ktor� m� digit�lny podpis alebo �ifrovan� pomocou RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov, pou��vate�ovi chybu, s upozornen�m, �e certifik�t je ned�veryhodn�. Pou��vate� m��e st�le zobrazi� �ifrovan� alebo podp�san� email.
• 2010 Program Outlook sa nem��e pripoji� na server Microsoft Exchange, ktor� pou��va RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov pre SSL/TLS. Zobraz� sa nasleduj�ca chyba: "inform�cie, ktor� si vymen�te s touto lokalitou nem��e by� zobrazen� alebo zmenen� niek�m in�m. Je v�ak probl�m s certifik�tom zabezpe�enia lokality. Bezpe�nostn� certifik�t nie je platn�. Str�nky by nemali by� d�veryhodn�."
• Bezpe�nostn� upozornenia "Nezn�me Publisher" s� hl�sen�, ale in�tal�cia m��e pokra�ova� v nasleduj�cich pr�padoch:
  • Authenticode podpisy, ktor� boli �asovou 1. janu�r 2010 alebo v neskor�om term�ne, a ktor� s� podp�san� osved�enie pomocou RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov sa vyskytuj�.
  • Podp�san� mont�rom podp�san� pomocou RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov.
  • Ovl�dacie prvky ActiveX, podp�san� pomocou RSA certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov. Ovl�dacie prvky Active X, ktor� u� nain�talovan� pred in�tal�ciou tejto aktualiz�cie nebud� ovplyvnen�.
• Syst�m Center HP-UX PA-RISC po��ta�och, ktor� pou��vaj� osved�enie o RSA s 512 bitov�ho k���a d�ky prinesie srdca upozornenia a v�etky Operations Manager monitoring po��ta�ov zlyh�. Tie� sa vygeneruje "Chyba SSL certifik�t" opis "podp�san� overenie osved�enia." Tie� Operations Manager nie objavova� nov� po��ta�e HP-UX PA-RISC chybu "overenie podp�san�ho osved�enia". System Center z�kazn�kov, ktor� HP-UX PA-RISC po��ta�ov sa odpor��a vydan�m osved�enia RSA s d�ky k���ov aspo� 1024 bitov. �al�ie inform�cie, prejdite na nasledovn� webov� str�nku TechNet:
  D�LE?it�: HP-UX PA-RISC po��ta�e monitorova� Operations Manager za�ij� srdcov� tep a monitorovanie zlyhania po nadch�dzaj�ce Windows update

  (http://blogs.technet.com/b/momteam/archive/2012/08/01/important-hp-ux-pa-risc-computers-monitored-by-operations-manager-will-experience-heartbeat-and-monitoring-failures-after-an-upcoming-windows-update.aspx)

Pozn�mka �ifrovanie syst�mu EFS nie je ovplyvnen� tejto aktualiz�cii.

Objavte osved�enia RSA s d�ky k���ov menej ako 1024 bitov

Existuj� �tyri hlavn� met�dy objavovania ak osved�enia RSA s menej ako 1024 bitov sa pou��vaj� kl�vesy:

• Manu�lne skontrolujte certifik�tov a certifika�n�ch ciest
• Pou�itie CAPI2 zapisovania do denn�ka
• Skontrolujte �abl�ny certifik�tov
• Povoli� zapisovanie do denn�ka na po��ta�och, ktor� maj� nain�talovan� aktualiz�cia

Manu�lne skontrolujte certifik�tov a certifika�n�ch ciest

Certifik�ty m��ete manu�lne skontrolova� otvoren�m a zobrazenie ich typ, d�ku k���a a Certifika�n� cesta. M��ete to urobi� z poh�adu (zvy�ajne kliknete) certifik�t, ktor� bol vydan� interne. Na karte Certifika�n� cesta kliknite na tla�idlo Zobrazi� certifik�t pre ka�d� certifik�t v re�azci, aby sa ubezpe�il, �e v�etky osved�enia RSA pomocou aspo� 1024 bitov d�ky k���ov.

Napr�klad na nasledovnom obr�zku bolo osved�enie vydan� na radi� dom�ny (2003DC.adatum.com) z hlavn�ho CA s n�zvom AdatumRootCA. M��ete vybra� AdatumRootCA certifik�t na karte Certifika�n� cesta .



AdatumRootCA certifik�t zobraz�te kliknut�m na polo�ku Zobrazi� certifik�t. Na table s podrobnos�ami , vyberte verejn� k��� vidie� ve�kos� k���a, ako je to zn�zornen� na nasledovnom obr�zku.



Osved�enia RSA pre AdatumRootCA v tomto pr�klade je 2 048 bitov.

Pou�itie CAPI2 zapisovania do denn�ka

Na po��ta�och so syst�mom Windows Vista alebo Windows Server 2008 alebo nov�ie verzie syst�mu Windows, m��ete pou�i� CAPI2 zapisovania do denn�ka pri identifikovan� k���e, ktor� maj� d�ku minim�lne 1024 bitov. Potom m��ete povoli� po��ta�e na vykon�vanie ich be�n�ch oper�ci� a nesk�r kontrolou denn�ka pri identifikovan� k���e, ktor� maj� d�ku minim�lne 1024 bitov. Potom, potom m��ete tieto inform�cie vyp�tra� zdrojov osved�en� a spr�stupni� potrebn� aktualiz�cie.

Vykon�te to tak, mus� najprv povoli� podrobn� diagnostick� zapisovanie do denn�ka. Verbose re�im zapisovania, postupujte nasledovne:

1. Otvorte Editor datab�zy Registry (Regedit.exe).

2. Prejdite na nasleduj�ci k��� datab�zy registry:



3. Pridajte hodnotu DWORD (32-bit) DiagLevel , ktor� sa s hodnotou 0x00000005.

4. Prida� QWORD (64-bit) hodnota DiagMatchAnyMask s hodnotou 0x00ffffff.



Po zobrazen� mo�nost� korekt�r, m��ete zapn�� potom CAPI2 prev�dzkov� zapisovania do denn�ka v pr�pade Viewer. CAPI2 prev�dzkov�ho denn�ka nach�dza za slu�bu denn�ky aplik�ci� aMicrosoft, Windowsa CAPI2 v programe Zobrazova� udalost�. Ak chcete zapn�� zapisovanie do denn�ka, kliknite prav�m tla�idlom na operat�vne denn�ka, kliknite na tla�idlo Zapn�� Denn�k, a potom kliknite na tla�idlo Filtrova� aktu�lny denn�k. Kliknite na tla�idlo XML karte a kliknite na tla�idlo Vybra� Manu�lne upravi� dotaz za�iarkavacie pol��ko.

Po zhroma�den� denn�ka, pou�ite nasleduj�ci filter zn�i� po�et polo�iek, ktor� budete musie� h�ada� throughto n�js� certifik�t oper�cie s kl�vesmi, ktor� maj� d�ku minim�lne 1024 bitov. Nasleduj�ci filter vyh�ad�va k���e 512 bitov.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 "]]]]] a UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA"]]]]]]</Select>

</Query>

</QueryList>



M��ete tie� dotaz pre viacer� d�ky k���ov pomocou jedin�ho dotazu. Napr�klad nasleduj�ci filter dotazy na 384-bitov� k���e a 512-bitov� k���e.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384 "]]]]] a UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA"]]]]]] alebo Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 "]]]]] a UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA"]]]]]]</Select>

</Query>

</QueryList>

Skontrolujte �abl�ny certifik�tov

Nasledovn� dotaz m��ete spusti� na va�e certifika�n�ch �radov (CAs) objavova� �abl�ny certifik�tov, ktor� pou��vaj� kl�vesy menej ako 1024 bitov:


Pozn�mka V ka�dej lesov by spusti� pr�kaz vo va�ej organiz�cii.

Ak spust�te tento dotaz, �abl�ny, ktor� pou��vaj� k���e, ktor� s� men�ie ako 1024 bitov sa zobrazia s ich ve�kos�ou k���a. Nasledovn� obr�zok ukazuje, �e dvaja vstavanej �abl�ny, SmartcardLogon a SmartcardUser, maj� predvolen� k���a d�ky, ktor� maj� minim�lne ve�kosti k���ov 512 bitov. M��e tie� objavili �al�ie �abl�ny, ktor� boli duplikova� s minim�lne ve�kosti k���ov menej ako 1024 bitov.

Pre ka�d� �abl�nu, �e zist�te, ktor� umo��uj� menej ako 1024-bitov� k���e, by mal ur�i�, �i je mo�n� vyd�va� osved�enia, tak ako je uveden� v �asti �abl�ny certifik�tov certifika�n�ho �radu konzoly.

Povoli� zapisovanie do denn�ka na po��ta�och, ktor� maj� nain�talovan� aktualiz�cia

Nastavenia datab�zy registry m��ete pou�i�, ak chcete umo�ni� po��ta�om, ktor� maj� aktualiz�cie uplat�ova� vyh�adajte certifik�ty RSA s d�ky k���ov menej ako 1024 bitov. Mo�nos� vykon�vania zapisovania do denn�ka je pop�san� v sekcii "Uznesenie", preto�e to je �zko spojen� s nastaven�m datab�zy registry, ktor� m��u by� pou�it� na umo�nenie d�ky k���ov menej ako 1024 bitov. N�jdete v �asti "Umo�ni� d�ky k���ov menej ako 1024 bitov pomocou nastaven� datab�zy registry" nesk�r v tomto �l�nku, �al�ie inform�cie o povolen� zapisovania.

Prim�rne rozl�enie pre akejko�vek ot�zky, ktor� s�vis� s blokovanie certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov je vykon�va� v��� (1024-bitov�m d�ka k���a alebo v���) osved�enia. Odpor��ame, �e pou��vatelia realizova� certifik�tov, ktor� maj� d�ku k���a aspo� 2 048 bitov.

Zv��i� ve�kos� k���a pre osved�enie vydan� prostredn�ctvom automatickej registr�cie osved�enie

Pre �abl�ny, ktor� vydala osved�enia RSA s d�ky k���ov menej ako 1024 bitov, mali by ste zv�i�, zvy�uje minim�lna ve�kos� k���a na nastavenie aspo� 1024 bitov. Toto predpoklad�, �e zariadenia, na ktor� s� tieto certifik�ty vydan� podporova� v��iu ve�kos� k���a.

Potom m��ete zv��i� minim�lna ve�kos� k���a, pou�ite mo�nos� Reenroll v�etk�ch dr�ite�ov certifik�tov v Osved�enie �abl�ny konzoly sp�sobi� klientske po��ta�e na Reenroll a po�adova� v��ia ve�kos� k���a.



Ak ste vydali certifik�ty pomocou vstavanej prihlasovan� kartou Smart Card alebo pou��vate� karty Smartcard �abl�ny, budete schopn� prisp�sobi� minim�lna ve�kos� k���a �abl�ny priamo. Namiesto toho budete musie� duplikova� �abl�nu, zv��i� ve�kos� k���a duplikovan� �abl�ne a potom nahradenie p�vodnej �abl�ny s duplikovan�m �abl�ny.



Po ste nahradili �abl�nu, pou�ite mo�nos� Reenroll v�etk�ch dr�ite�ov certifik�tov sp�sobi� klientske po��ta�e na Reenroll a po�adova� v��ia ve�kos� k���a.

Umo�ni� d�ky k���ov menej ako 1024 bitov pomocou nastaven� datab�zy registry

Spolo�nos� Microsoft neodpor��a z�kazn�kov certifik�ty pou��vaj� menej ako 1024 bitov dlh�. Z�kazn�ci v�ak potrebn� do�asn� rie�enie, s��asne dlh�ie obdobie rie�enie je nahradi� osved�enia RSA k���a d�ky ni��ia ako d�ka 1024 bitov. V t�chto pr�padoch Microsoft poskytuje z�kazn�kom mo�nos� zmeni� sp�sob aktualiz�cie funkcie. Z�kazn�ci konfigur�cia nastavenia akceptujete riziko, �e �to�n�k m��e by� schopn� prelomi� ich osved�en� a pou�i� ich vtip obsah, vykona� phishingov�ch �tokov alebo vykona� mu�-v-�tokmi.

D�le�it� T�to �as�, met�da alebo �loha obsahuje kroky, ktor� v�m poveda�, ako upravi� datab�zu registry. Av�ak, m��u sp�sobi� v�ne probl�my ak datab�zu registrov uprav�te nespr�vne. Preto sa uistite, �e ste postupovali spr�vne. Doporu�ujeme z�lohova� datab�zu registrov sk�r, ako zmen�te jej hodnoty. Potom, m��ete obnovi� datab�zu registrov, ak sa vyskytne probl�m. �al�ie inform�cie o z�lohovan� a obnoven� datab�zy registrov n�jdete po kliknut� na nasledovn� ��slo �l�nku publikovan�ho v Microsoft Knowledge Base:Na Windows 8 alebo Windows Server 2012 b�ze po��ta�ov, ktor� maj� aktualiz�cie, ktor� sa uplat�uj� nasleduj�ce cesta datab�zy registry a nastavenia mo�no kontrolova� detekcie a blokovanie osved�enia RSA s menej ako 1024-bitov�m d�ky k���ov.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Existuj� �tyri hlavn� hodnoty, ktor� kontrolova�, ako k���e pod 1024 bitov blokovanie diel. Tieto s� nasledovn�:

• MinRsaPubKeyBitLength
• EnableWeakSignatureFlags
• WeakSignatureLogDir
• WeakRsaPubKeyTime

V�etky tieto hodnoty, a �o riadia s� diskutovan� v nasleduj�cich �astiach.

Pre opera�n� syst�my, po�n�c Windows Vista a Windows Server 2008, m��ete pou�i� pr�kazy certutil zmeni� tieto nastavenia datab�zy registry. Na Windows XP, Windows Server 2003 a Windows Server 2003 R2, ke� nemo�no pou�i� pr�kazy certutil zmeni� tieto nastavenia datab�zy registry. Av�ak, m��ete pou�i� Editor datab�zy Registry, pr�kazu reg alebo reg s�boru.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength je DWORD hodnota, ktor� definuje minim�lny pr�pustn� RSA d�ku k���a. Pod�a predvolen�ho nastavenia t�to hodnota nie je pr�tomn� a minimum povolen� d�ku k���a RSA 1024. Certutil m��ete pou�i� nastavenie tejto hodnoty na 512 spusten�m pr�kazu:

certutil - setreg chain\minRSAPubKeyBitLength 512

Pozn�mkaV�etky certutil pr�kazy uveden� v tomto �l�nku vy�aduj� miestne opr�vnenia spr�vcu, preto�e sa menia datab�zy registry. M��ete ignorova� spr�va, ktor� znie "CertSvc slu�ba m��e ma� na zmeny prejavili." To nie je potrebn� pre tieto pr�kazy, preto�e nemaj� vplyv slu�ba spr�vy certifik�tov (CertSvc).

M��ete sa vr�ti� na blokovanie k���e, ktor� maj� d�ku menej bitov than1024 odstr�nen�m hodnoty. Vykon�te to spusten�m nasledovn�ho pr�kazu certutil :

certutil - delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Hodnota DWORD EnableWeakSignatureFlags sa troch mo�n�ch hodn�t: 2, 4, 6 a 8. tieto nastavenia zmeni� spr�vanie ako k���e pod 1024 bitov detekcie a blokovanie diel. Nastavenia s� pop�san� v nasleduj�cej tabu�ke:

Pr�klady

Aby RSA kore�ov� certifik�t, ktor� m� d�ku k���a menej ako 1024 bitov, pou�ite nasleduj�ci pr�kaz certutil :

certutil - setreg chain\EnableWeakSignatureFlags 2

Ak chcete zapn�� zapisovanie pri st�le blokovanie certifik�ty, ktor� pou��vaj� k���a d�ky menej ako 1024 bitov, pou�ite nasleduj�ci pr�kaz certutil :

certutil - setreg chain\EnableWeakSignatureFlags 4

Ak chcete zapn�� zapisovanie len RSA certifik�ty pod kore�ov� certifik�t k���a d�ky menej ako 1024 bitov, pou�ite nasleduj�ci pr�kaz certutil :

certutil - setreg chain\EnableWeakSignatureFlags 6

Ak chcete zapn�� zapisovanie do denn�ka len a nie blokovanie d�ky k���ov menej ako 1024 bitov, pou�ite pr�kazu certutil :

certutil - setreg chain\EnableWeakSignatureFlags 8

Pozn�mka Ke� zapnete zapisovanie do denn�ka (desiatkovo nastavenie 4, 6 alebo 8), mus�te nakonfigurova� adres�r denn�ka pod�a popisu v nasleduj�cej �asti.

WeakSignatureLogDir

Po definovan�, osved�enia, ktor� maj� d�ku k���a menej ako 1024 bitov sa zapisuj� do zadan�ho prie�inka. C:\Under1024KeyLog by mohli by� napr�klad �daje pre t�to hodnotu. T�to vo�ba sa po�aduje, ak EnableWeakSignatureFlags nastaven� na 4 alebo 8. Uistite sa, �e nakonfigurova� z�bezpeka na zadan� prie�inok tak, �e Authenticated Users a lok�lnej skupiny V�etky bal�ky aplik�ci� sa upravi� pr�stup. Nastavenie tejto hodnoty na C:\Under1024KeyLog, m��ete pou�i� nasledovn� pr�kaz certutil:

Certutil - setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

M��ete tie� nakonfigurova� WeakSignatureLogDir p�sa� do zdie�an�ho sie�ov�ho prie�inka. Uistite sa, �e m�te pr�slu�n� povolenia, nakonfigurovan� pre sie�ov� umiestnenie, tak�e m��ete nap�sa� v�etk�ch nakonfigurovan�ch pou��vate�ov k zdie�an�mu prie�inku. Nasleduj�ci pr�kaz je pr�kladom konfigur�cia WeakSignatureLogDir p�sa� do prie�inka s n�zvom k���e , ktor� je v zdie�anom prie�inku sie� s n�zvom RSA na Server1:

Certutil - setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime je 8 byte REG_BINARY hodnoty, ktor� obsahuje typ �dajov Windows FILETIME ulo�en� ako UTC/GMT. T�to hodnota je k dispoz�cii, najm�, aby sa zn�ilo potenci�lne probl�my blokovanie k���e, ktor� maj� d�ku minim�lne 1024 bitov pre Authenticode podpisy. Certifik�ty, ktor� sa pou��vaj� na podp�sanie k�du pred nakonfigurovan� d�tum a �as sa nekontroluje pre k���e, ktor� maj� d�ku minim�lne 1024 bitov. Pod�a predvolen�ho nastavenia t�to hodnota datab�zy registry nie je pr�tomn� a pova�uje za rannej 1. janu�r 2010 polnoci UTC/GMT.

Pozn�mkaToto nastavenie plat� iba pre ke� bol certifik�t pou�i� na Authenticode podp�sa� �asovou s�boru. Ak k�d nie je �asovou, potom sa pou�ije aktu�lny �as a WeakRsaPubKeyTime nastavenie sa nepou��va.

WeakRsaPubKeyTime nastavenie umo��uje konfigur�ciu d�tum pre ktor� zv�i� star�ie podpisy platn�. Ak m�te d�vod stanovi� in� d�tum a �as na WeakRsaPubKeyTime, sa m��ete certutil stanovi� in� d�tum. Napr�klad, ak chcete nastavi� d�tum � � 29. August 2010, m��ete pou�i� nasleduj�ci pr�kaz:

certutil - setreg chain\WeakRsaPubKeyTime @ 08/29/2010

Ak mus�te nastavi� �asu, ako napr�klad 6: 00 PM na 4. j�la 2011, potom prida� po�et dn� a hod�n v form�t + [dd:hh] k pr�kazu. Preto�e 6: 00 PM je 18 hod�n po polnoci na 4. j�la 2011, by spustite nasledovn� pr�kaz:

certutil - setreg chain\WeakRsaPubKeyTime @ 01/15/2011 + 00: 18

Konfigurovanie certifik�ty na Internet Information Services (IIS)

Ak ste IIS z�kazn�ka, ktor� sa m� vyda� nov� osved�enia, ktor� s� 1024 bitov alebo viac, n�jdete v nasleduj�cich �l�nkoch:

Tieto s�bory s� k dispoz�cii na prevzatie pre softv�r spolo�nosti Microsoft:

Pre v�etky podporovan� x 86-bitov� verzie syst�mu Windows XP

Prevzia� bal�k.

Pre v�etky podporovan� x 64-bitov�ch verzi� syst�mu Windows XP Professional x 64 edition

Prevzia� bal�k.

Pre v�etky podporovan� x 86-bitov� verzie syst�mu Windows Server 2003

Prevzia� bal�k.

Pre v�etky podporovan� x 64-bitov�ch verzi� syst�mu Windows Server 2003

Prevzia� bal�k.

Pre v�etky podporovan� IA-64-bitov�ch verzi� syst�mu Windows Server 2003

Prevzia� bal�k.

Pre v�etky podporovan� x 86-bitov� verzie syst�mu Windows Vista

Prevzia� bal�k.

Pre v�etky podporovan� x 64-bitov�ch verzi� syst�mu Windows Vista

Prevzia� bal�k.

Pre v�etky podporovan� x 86-bitov� verzie syst�mu Windows Server 2008

Prevzia� bal�k.

Pre v�etky podporovan� x 64-bitov�ch verzi� syst�mu Windows Server 2008

Prevzia� bal�k.

Pre v�etky podporovan� IA-64-bitov�ch verzi� syst�mu Windows Server 2008

Prevzia� bal�k.

Pre v�etky podporovan� x 86-bitov� verzie Windows 7

Prevzia� bal�k.

Pre v�etky podporovan� x 64-bitov�ch verzi� syst�mu Windows 7

Prevzia� bal�k.

Pre v�etky podporovan� x 64-bitov�ch verzi� syst�mu Windows Server 2008 R2

Prevzia� bal�k.

Pre v�etky podporovan� IA-64-bitov�ch verzi� syst�mu Windows Server 2008 R2

Prevzia� bal�k.

Pre v�etky podporovan� x 86-bitov� verzie Windows Embedded �tandardnej 7

Prevzia� bal�k.

Pre v�etky podporovan� x 64-bitov�ch verzi� syst�mu Windows Embedded �tandardu 7

Prevzia� bal�k.

D�tum vydania: 14. August 2012

�al�ie inform�cie o preberan� Microsoft podporn�ch s�borov z�skate po kliknut� na nasledovn� ��slo �l�nku datab�zy Microsoft Knowledge Base:Microsoft kontroluje tento s�bor na v�rusy. Spolo�nos� Microsoft pou�ila najaktu�lnej�� antiv�rusov� softv�r, ktor� bol k dispoz�cii v de�, kedy bol zaslan� s�bor. S�bor je ulo�en� na zabezpe�en�ch serveroch, ktor� pom�haj� zabr�ni� neopr�vnen�m zmen�m v s�bore.

Zoznam s�borov, ktor� sa v r�mci t�chto bal�kov, kliknite na nasleduj�ce prepojenie: