Microsoft Security poradná: Aktualizácia pre dĺžku kľúča minimálne osvedčenie

Preklady článku Preklady článku
ID článku: 2661254 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

ZAVEDENIE

Spoločnosť Microsoft vydala zabezpe?enia pre profesionálov. Táto poradná oznamuje, že používanie certifikáty RSA kľúče, ktoré sú menej ako 1024 bitov dlhé, budú blokované. Odporú?anie, nájdete na nasledovných webovej lokalite Microsoft:
http://Technet.Microsoft.com/security/Advisory/2661254
Na zníženie rizika expozície neoprávnených citlivých informácií, spoločnosť Microsoft vydala aktualizáciu nonsecurity (KB 2661254) pre všetky podporované verzie systému Microsoft Windows. Táto aktualizácia bude blokovať kryptografické kľúče, ktoré sú menej ako 1024 bitov dlhé. Táto aktualizácia sa nevzťahuje na Windows 8 Release Ukážka alebo Windows Server 2012 Release Candidate, pretože tieto operačné systémy už obsahovať funkcie zablokovať použitie slabé RSA kľúče, ktoré sú menej ako 1024 bitov dlhé.

dalsie informacie

Pevnosť založené na kľúči verejnosti Kryptografické algoritmy určuje čas, ktorý trvá na odvodenie súkromného kľúča pomocou metódami hrubej sily. Algoritmus sa považuje za silný dost, keď čas, ktorý trvá na odvodenie súkromný kľúč je dostatočne prohibitívne použitím výpočtového výkonu k dispozícii. Hrozba krajiny sa ďalej vyvíjať. Microsoft je preto ďalej kalenie kritériá pre algoritmus RSA s dĺžky kľúčov, ktoré sú menej ako 1024 bitov dlhé.

Po aktualizácii sa uplatňuje, len osvedčenia reťazce, ktoré sú postavené pomocou CertGetCertificateChain funkcie ovplyvnené. Rozhranie CryptoAPI stavia Certifikačná reťaz dôvery a overuje toto zreťazenie pomocou časovú platnosť a zrušenie certifikátov osvedčenie politiky (ako je napríklad určené účely). Aktualizácia implementuje dodatočná kontrola presvedčiť sa, že žiadne certifikáty v reťazi nemá dĺžku kľúča RSA menej ako 1024 bitov.

Známe problémy pri túto aktualizáciu zabezpečenia

Po aktualizácii sa uplatní:
  • Vyžaduje sa reštartovanie.
  • vydávajúca certifikačná autorita (CA) nemôže vydať osvedčenia RSA, ktoré majú dĺžku kľúča menej ako 1024 bitov.
  • CA služby (certsvc) sa nedá spustiť, keď vydávajúca certifikačná autorita je pomocou RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov.
  • Internet Explorer neumožní prístup na stránky, ktoré je zabezpečené pomocou RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov.
  • Program Outlook 2010 sa nedá použiť na šifrovanie e-mailu, ak je pomocou RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov. Avšak, e-mail, ktoré už boli zašifrované s použitím certifikátu RSA s dĺžku kľúča, ktorý je menej ako 1024 bitov môže dešifrovať, po nainštalovaní aktualizácie.
  • Program Outlook 2010 sa nemôže použiť na digitálne podpisovanie e-mailu, ak je pomocou RSA certifikát, ktorý má dĺžku kľúča, ktorý je menej ako 1024 bitov.
  • Keď e-mailu v programe Outlook 2010, ktorá má digitálny podpis alebo šifrované pomocou RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov, používateľovi chybu, s upozornením, že certifikát je nedôveryhodný. Používateľ môže stále zobraziť šifrované alebo podpísané email.
  • 2010 Program Outlook sa nemôže pripojiť na server Microsoft Exchange, ktorý používa RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov pre SSL/TLS. Zobrazí sa nasledujúca chyba: "informácie, ktoré si vymeníte s touto lokalitou nemôže byť zobrazené alebo zmenené niekým iným. Je však problém s certifikátom zabezpečenia lokality. Bezpečnostný certifikát nie je platný. Stránky by nemali byť dôveryhodné."
  • Bezpečnostné upozornenia "Neznáme Publisher" sú hlásené, ale inštalácia môže pokračovať v nasledujúcich prípadoch:
    • Authenticode podpisy, ktoré boli časovou 1. január 2010 alebo v neskoršom termíne, a ktoré sú podpísané osvedčenie pomocou RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov sa vyskytujú.
    • Podpísané montérom podpísané pomocou RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov.
    • Ovládacie prvky ActiveX, podpísané pomocou RSA certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov. Ovládacie prvky Active X, ktoré už nainštalované pred inštaláciou tejto aktualizácie nebudú ovplyvnené.
  • Systém Center HP-UX PA-RISC počítačoch, ktoré používajú osvedčenie o RSA s 512 bitového kľúča dĺžky prinesie srdca upozornenia a všetky Operations Manager monitoring počítačov zlyhá. Tiež sa vygeneruje "Chyba SSL certifikát" opis "podpísaná overenie osvedčenia." Tiež Operations Manager nie objavovať nové počítače HP-UX PA-RISC chybu "overenie podpísaného osvedčenia". System Center zákazníkov, ktorí HP-UX PA-RISC počítačov sa odporúča vydaním osvedčenia RSA s dĺžky kľúčov aspoň 1024 bitov. Ďalšie informácie, prejdite na nasledovnú webovú stránku TechNet:
    DÔLE?ité: HP-UX PA-RISC počítače monitorovať Operations Manager zažijú srdcový tep a monitorovanie zlyhania po nadchádzajúce Windows update
Poznámka Šifrovanie systému EFS nie je ovplyvnená tejto aktualizácii.

Objavte osvedčenia RSA s dĺžky kľúčov menej ako 1024 bitov

Existujú štyri hlavné metódy objavovania ak osvedčenia RSA s menej ako 1024 bitov sa používajú klávesy:
  • Manuálne skontrolujte certifikátov a certifikačných ciest
  • Použitie CAPI2 zapisovania do denníka
  • Skontrolujte šablóny certifikátov
  • Povoliť zapisovanie do denníka na počítačoch, ktoré majú nainštalovaná aktualizácia

Manuálne skontrolujte certifikátov a certifikačných ciest

Certifikáty môžete manuálne skontrolovať otvorením a zobrazenie ich typ, dĺžku kľúča a Certifikačná cesta. Môžete to urobiť z pohľadu (zvyčajne kliknete) certifikát, ktorý bol vydaný interne. Na karte Certifikačná cesta kliknite na tlačidlo Zobraziť certifikát pre každý certifikát v reťazci, aby sa ubezpečil, že všetky osvedčenia RSA pomocou aspoň 1024 bitov dĺžky kľúčov.

Napríklad na nasledovnom obrázku bolo osvedčenie vydané na radič domény (2003DC.adatum.com) z hlavného CA s názvom AdatumRootCA. Môžete vybrať AdatumRootCA certifikát na karte Certifikačná cesta .

Zbaliť tento obrázokRozbaliť tento obrázok
Karta certifikácie cesta


AdatumRootCA certifikát zobrazíte kliknutím na položku Zobraziť certifikát. Na table s podrobnosťami , vyberte verejný kľúč vidieť veľkosť kľúča, ako je to znázornené na nasledovnom obrázku.

Zbaliť tento obrázokRozbaliť tento obrázok
Zobraziť certifikát


Osvedčenia RSA pre AdatumRootCA v tomto príklade je 2 048 bitov.

Použitie CAPI2 zapisovania do denníka

Na počítačoch so systémom Windows Vista alebo Windows Server 2008 alebo novšie verzie systému Windows, môžete použiť CAPI2 zapisovania do denníka pri identifikovaní kľúče, ktoré majú dĺžku minimálne 1024 bitov. Potom môžete povoliť počítače na vykonávanie ich bežných operácií a neskôr kontrolou denníka pri identifikovaní kľúče, ktoré majú dĺžku minimálne 1024 bitov. Potom, potom môžete tieto informácie vypátrať zdrojov osvedčení a sprístupniť potrebné aktualizácie.

Vykonáte to tak, musí najprv povoliť podrobné diagnostické zapisovanie do denníka. Verbose režim zapisovania, postupujte nasledovne:

1. Otvorte Editor databázy Registry (Regedit.exe).

2. Prejdite na nasledujúci kľúč databázy registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Pridajte hodnotu DWORD (32-bit) DiagLevel , ktorý sa s hodnotou 0x00000005.

4. Pridať QWORD (64-bit) hodnota DiagMatchAnyMask s hodnotou 0x00ffffff.

Zbaliť tento obrázokRozbaliť tento obrázok
Položka databázy registry DiagMatchAnyMask


Po zobrazení možností korektúr, môžete zapnúť potom CAPI2 prevádzkové zapisovania do denníka v prípade Viewer. CAPI2 prevádzkového denníka nachádza za službu denníky aplikácií aMicrosoft, Windowsa CAPI2 v programe Zobrazovač udalostí. Ak chcete zapnúť zapisovanie do denníka, kliknite pravým tlačidlom na operatívne denníka, kliknite na tlačidlo Zapnúť Denník, a potom kliknite na tlačidlo Filtrovať aktuálny denník. Kliknite na tlačidlo XML karte a kliknite na tlačidlo Vybrať Manuálne upraviť dotaz začiarkavacie políčko.
Zbaliť tento obrázokRozbaliť tento obrázok
Zapnúť Denník


Po zhromaždení denníka, použite nasledujúci filter znížiť počet položiek, ktoré budete musieť hľadať throughto nájsť certifikát operácie s klávesmi, ktoré majú dĺžku minimálne 1024 bitov. Nasledujúci filter vyhľadáva kľúče 512 bitov.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 "]]]]] a UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA"]]]]]]</Select>

</Query>

</QueryList>

Zbaliť tento obrázokRozbaliť tento obrázok
Filtrovať aktuálny denník


Môžete tiež dotaz pre viaceré dĺžky kľúčov pomocou jediného dotazu. Napríklad nasledujúci filter dotazy na 384-bitové kľúče a 512-bitové kľúče.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384 "]]]]] a UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA"]]]]]] alebo Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 "]]]]] a UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA"]]]]]]</Select>

</Query>

</QueryList>

Skontrolujte šablóny certifikátov

Nasledovný dotaz môžete spustiť na vaše certifikačných úradov (CAs) objavovať šablóny certifikátov, ktoré používajú klávesy menej ako 1024 bitov:

certutil - dstemplate | findstr "[msPKI-minimálne-kľúč-veľkosť" | /v findstr "1024 2048 4096"

Poznámka V každej lesov by spustiť príkaz vo vašej organizácii.

Ak spustíte tento dotaz, šablóny, ktoré používajú kľúče, ktoré sú menšie ako 1024 bitov sa zobrazia s ich veľkosťou kľúča. Nasledovný obrázok ukazuje, že dvaja vstavanej šablóny, SmartcardLogon a SmartcardUser, majú predvolené kľúča dĺžky, ktoré majú minimálne veľkosti kľúčov 512 bitov. Môže tiež objavili ďalšie šablóny, ktoré boli duplikovať s minimálne veľkosti kľúčov menej ako 1024 bitov.

Pre každú šablónu, že zistíte, ktoré umožňujú menej ako 1024-bitové kľúče, by mal určiť, či je možné vydávať osvedčenia, tak ako je uvedené v časti Šablóny certifikátov certifikačného úradu konzoly.

Zbaliť tento obrázokRozbaliť tento obrázok
Časti šablóny certifikátu


Povoliť zapisovanie do denníka na počítačoch, ktoré majú nainštalovaná aktualizácia

Nastavenia databázy registry môžete použiť, ak chcete umožniť počítačom, ktoré majú aktualizácie uplatňovať vyhľadajte certifikáty RSA s dĺžky kľúčov menej ako 1024 bitov. Možnosť vykonávania zapisovania do denníka je popísaná v sekcii "Uznesenie", pretože to je úzko spojený s nastavením databázy registry, ktoré môžu byť použité na umožnenie dĺžky kľúčov menej ako 1024 bitov. Nájdete v časti "Umožniť dĺžky kľúčov menej ako 1024 bitov pomocou nastavení databázy registry" neskôr v tomto článku, ďalšie informácie o povolení zapisovania.

Uznesenia

Primárne rozlíšenie pre akejkoľvek otázky, ktorá súvisí s blokovanie certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov je vykonávať väčší (1024-bitovým dĺžka kľúča alebo väčší) osvedčenia. Odporúčame, že používatelia realizovať certifikátov, ktoré majú dĺžku kľúča aspoň 2 048 bitov.

Zvýšiť veľkosť kľúča pre osvedčenie vydané prostredníctvom automatickej registrácie osvedčenie

Pre šablóny, ktorá vydala osvedčenia RSA s dĺžky kľúčov menej ako 1024 bitov, mali by ste zvážiť, zvyšuje minimálna veľkosť kľúča na nastavenie aspoň 1024 bitov. Toto predpokladá, že zariadenia, na ktoré sú tieto certifikáty vydané podporovať väčšiu veľkosť kľúča.

Potom môžete zvýšiť minimálna veľkosť kľúča, použite možnosť Reenroll všetkých držiteľov certifikátov v Osvedčenie šablóny konzoly spôsobiť klientske počítače na Reenroll a požadovať väčšia veľkosť kľúča.

Zbaliť tento obrázokRozbaliť tento obrázok
Prihlásenie pomocou karty Smart Card


Ak ste vydali certifikáty pomocou vstavanej prihlasovaní kartou Smart Card alebo používateľ karty Smartcard šablóny, budete schopní prispôsobiť minimálna veľkosť kľúča šablóny priamo. Namiesto toho budete musieť duplikovať šablónu, zvýšiť veľkosť kľúča duplikované šablóne a potom nahradenie pôvodnej šablóny s duplikovaným šablóny.

Zbaliť tento obrázokRozbaliť tento obrázok
Aktualizované vlastnosti prihlasovaní kartou Smart Card


Po ste nahradili šablónu, použite možnosť Reenroll všetkých držiteľov certifikátov spôsobiť klientske počítače na Reenroll a požadovať väčšia veľkosť kľúča.

Zbaliť tento obrázokRozbaliť tento obrázok
Reenroll všetkých držiteľov certifikátov


Umožniť dĺžky kľúčov menej ako 1024 bitov pomocou nastavení databázy registry

Spoločnosť Microsoft neodporúča zákazníkov certifikáty používajú menej ako 1024 bitov dlhé. Zákazníci však potrebné dočasné riešenie, súčasne dlhšie obdobie riešenie je nahradiť osvedčenia RSA kľúča dĺžky nižšia ako dĺžka 1024 bitov. V týchto prípadoch Microsoft poskytuje zákazníkom možnosť zmeniť spôsob aktualizácie funkcie. Zákazníci konfigurácia nastavenia akceptujete riziko, že útočník môže byť schopný prelomiť ich osvedčení a použiť ich vtip obsah, vykonať phishingových útokov alebo vykonať muž-v-útokmi.

Dôležité Táto časť, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Avšak, môžu spôsobiť vážne problémy ak databázu registrov upravíte nesprávne. Preto sa uistite, že ste postupovali správne. Doporučujeme zálohovať databázu registrov skôr, ako zmeníte jej hodnoty. Potom, môžete obnoviť databázu registrov, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registrov nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:
322756 Zálohovanie a obnovovanie databázy registry v systéme Windows
Na Windows 8 alebo Windows Server 2012 báze počítačov, ktoré majú aktualizácie, ktoré sa uplatňujú nasledujúce cesta databázy registry a nastavenia možno kontrolovať detekcie a blokovanie osvedčenia RSA s menej ako 1024-bitovým dĺžky kľúčov.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Existujú štyri hlavné hodnoty, ktoré kontrolovať, ako kľúče pod 1024 bitov blokovanie diel. Tieto sú nasledovné:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
Všetky tieto hodnoty, a čo riadia sú diskutované v nasledujúcich častiach.

Pre operačné systémy, počnúc Windows Vista a Windows Server 2008, môžete použiť príkazy certutil zmeniť tieto nastavenia databázy registry. Na Windows XP, Windows Server 2003 a Windows Server 2003 R2, keď nemožno použiť príkazy certutil zmeniť tieto nastavenia databázy registry. Avšak, môžete použiť Editor databázy Registry, príkazu reg alebo reg súboru.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength je DWORD hodnota, ktorá definuje minimálny prípustný RSA dĺžku kľúča. Podľa predvoleného nastavenia táto hodnota nie je prítomný a minimum povolené dĺžku kľúča RSA 1024. Certutil môžete použiť nastavenie tejto hodnoty na 512 spustením príkazu:

certutil - setreg chain\minRSAPubKeyBitLength 512

PoznámkaVšetky certutil príkazy uvedené v tomto článku vyžadujú miestne oprávnenia správcu, pretože sa menia databázy registry. Môžete ignorovať správa, ktorá znie "CertSvc služba môže mať na zmeny prejavili." To nie je potrebné pre tieto príkazy, pretože nemajú vplyv služba správy certifikátov (CertSvc).

Môžete sa vrátiť na blokovanie kľúče, ktoré majú dĺžku menej bitov than1024 odstránením hodnoty. Vykonáte to spustením nasledovného príkazu certutil :

certutil - delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Hodnota DWORD EnableWeakSignatureFlags sa troch možných hodnôt: 2, 4, 6 a 8. tieto nastavenia zmeniť správanie ako kľúče pod 1024 bitov detekcie a blokovanie diel. Nastavenia sú popísané v nasledujúcej tabuľke:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
Desiatková hodnotaPopis
2Zadne koreňový certifikát (počas reťazca budovy) je povolené mať osvedčenie o RSA s kľúčovými dĺžkou menej ako 1024 bitov. Blokovanie RSA osvedčení nižšie v reťazci (ak majú menej ako 1024 bitové kľúče) je stále v platnosti. Vlajka zapnuté, ak je táto hodnota nastavená je ako CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Umožňuje zapisovanie do denníka, ale stále presadzuje blokovanie osvedčenia RSA kľúče menej ako 1024 bitov. Keď je zapnutá, nevyžaduje sa WeakSignatureLogDir. Všetky kľúče s menej ako 1024-bitovým dĺžka zistil sa skopírujú do priečinka fyzické WeakSignatureLogDir. Vlajkou, ktoré sú povolené, ak je táto hodnota nastavená ako CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Keď je zapnutá, koreňový certifikát je povolené mať osvedčenie o RSA s kľúčom menej ako 1024 bitov a WeakSignatureLogDir sa vyžaduje. Všetky kľúče pod koreňový certifikát, ktoré majú kľúče menej ako 1024 bitov sú blokované a prihlásení do priečinka, ktorý je označený ako WeakSignatureLogDir.
8Umožňuje zapisovanie do denníka a nepredpisuje, blokovanie kl?íves, ktoré majú dĺžku minimálne 1024 bitov. Keď je zapnutá, nevyžaduje sa WeakSignatureLogDir. Všetky kľúče sa vyskytla, ktoré majú dĺžku minimálne 1024 bitov sa skopírujú do priečinka fyzické WeakSignatureLogDir. Vlajka zapnuté, ak je táto hodnota nastavená je ako CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Príklady

Aby RSA koreňový certifikát, ktorý má dĺžku kľúča menej ako 1024 bitov, použite nasledujúci príkaz certutil :

certutil - setreg chain\EnableWeakSignatureFlags 2

Ak chcete zapnúť zapisovanie pri stále blokovanie certifikáty, ktoré používajú kľúča dĺžky menej ako 1024 bitov, použite nasledujúci príkaz certutil :

certutil - setreg chain\EnableWeakSignatureFlags 4

Ak chcete zapnúť zapisovanie len RSA certifikáty pod koreňový certifikát kľúča dĺžky menej ako 1024 bitov, použite nasledujúci príkaz certutil :

certutil - setreg chain\EnableWeakSignatureFlags 6

Ak chcete zapnúť zapisovanie do denníka len a nie blokovanie dĺžky kľúčov menej ako 1024 bitov, použite príkazu certutil :

certutil - setreg chain\EnableWeakSignatureFlags 8

Poznámka Keď zapnete zapisovanie do denníka (desiatkovo nastavenie 4, 6 alebo 8), musíte nakonfigurovať adresár denníka podľa popisu v nasledujúcej časti.

WeakSignatureLogDir

Po definovaní, osvedčenia, ktoré majú dĺžku kľúča menej ako 1024 bitov sa zapisujú do zadaného priečinka. C:\Under1024KeyLog by mohli byť napríklad údaje pre túto hodnotu. Táto voľba sa požaduje, ak EnableWeakSignatureFlags nastavená na 4 alebo 8. Uistite sa, že nakonfigurovať zábezpeka na zadaný priečinok tak, že Authenticated Users a lokálnej skupiny Všetky balíky aplikácií sa upraviť prístup. Nastavenie tejto hodnoty na C:\Under1024KeyLog, môžete použiť nasledovný príkaz certutil:

Certutil - setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Môžete tiež nakonfigurovať WeakSignatureLogDir písať do zdieľaného sieťového priečinka. Uistite sa, že máte príslušné povolenia, nakonfigurované pre sieťové umiestnenie, takže môžete napísať všetkých nakonfigurovaných používateľov k zdieľanému priečinku. Nasledujúci príkaz je príkladom konfigurácia WeakSignatureLogDir písať do priečinka s názvom kľúče , ktoré je v zdieľanom priečinku sieť s názvom RSA na Server1:

Certutil - setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime je 8 byte REG_BINARY hodnoty, ktoré obsahuje typ údajov Windows FILETIME uložené ako UTC/GMT. Táto hodnota je k dispozícii, najmä, aby sa znížilo potenciálne problémy blokovanie kľúče, ktoré majú dĺžku minimálne 1024 bitov pre Authenticode podpisy. Certifikáty, ktoré sa používajú na podpísanie kódu pred nakonfigurovaný dátum a čas sa nekontroluje pre kľúče, ktoré majú dĺžku minimálne 1024 bitov. Podľa predvoleného nastavenia táto hodnota databázy registry nie je prítomný a považuje za rannej 1. január 2010 polnoci UTC/GMT.

PoznámkaToto nastavenie platí iba pre keď bol certifikát použiť na Authenticode podpísať časovou súboru. Ak kód nie je časovou, potom sa použije aktuálny čas a WeakRsaPubKeyTime nastavenie sa nepoužíva.

WeakRsaPubKeyTime nastavenie umožňuje konfiguráciu dátum pre ktoré zvážiť staršie podpisy platné. Ak máte dôvod stanoviť iný dátum a čas na WeakRsaPubKeyTime, sa môžete certutil stanoviť iný dátum. Napríklad, ak chcete nastaviť dátum – † 29. August 2010, môžete použiť nasledujúci príkaz:

certutil - setreg chain\WeakRsaPubKeyTime @ 08/29/2010

Ak musíte nastaviť času, ako napríklad 6: 00 PM na 4. júla 2011, potom pridať počet dní a hodín v formát + [dd:hh] k príkazu. Pretože 6: 00 PM je 18 hodín po polnoci na 4. júla 2011, by spustite nasledovný príkaz:

certutil - setreg chain\WeakRsaPubKeyTime @ 01/15/2011 + 00: 18

Konfigurovanie certifikáty na Internet Information Services (IIS)

Ak ste IIS zákazníka, ktorý sa má vydať nové osvedčenia, ktoré sú 1024 bitov alebo viac, nájdete v nasledujúcich článkoch:
Ako nastaviť SSL IIS 7
SSL a certifikátov v programe IIS 6

Riesenie

Tieto súbory sú k dispozícii na prevzatie pre softvér spoločnosti Microsoft:


Pre všetky podporované x 86-bitové verzie systému Windows XP

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 64-bitových verzií systému Windows XP Professional x 64 edition

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 86-bitové verzie systému Windows Server 2003

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 64-bitových verzií systému Windows Server 2003

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované IA-64-bitových verzií systému Windows Server 2003

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 86-bitové verzie systému Windows Vista

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 64-bitových verzií systému Windows Vista

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 86-bitové verzie systému Windows Server 2008

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 64-bitových verzií systému Windows Server 2008

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované IA-64-bitových verzií systému Windows Server 2008

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 86-bitové verzie Windows 7

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 64-bitových verzií systému Windows 7

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 64-bitových verzií systému Windows Server 2008 R2

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované IA-64-bitových verzií systému Windows Server 2008 R2

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 86-bitové verzie Windows Embedded štandardnej 7

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Pre všetky podporované x 64-bitových verzií systému Windows Embedded štandardu 7

Zbaliť tento obrázokRozbaliť tento obrázok
Stiahnuť
Prevziať balík.

Dátum vydania: 14. August 2012

Ďalšie informácie o preberaní Microsoft podporných súborov získate po kliknutí na nasledovné číslo článku databázy Microsoft Knowledge Base:
119591 Ako získať Microsoft podporných súborov zo služieb online
Microsoft kontroluje tento súbor na vírusy. Spoločnosť Microsoft použila najaktuálnejší antivírusový softvér, ktorý bol k dispozícii v deň, kedy bol zaslaný súbor. Súbor je uložený na zabezpečených serveroch, ktoré pomáhajú zabrániť neoprávneným zmenám v súbore.

INFORMÁCIE O SÚBORE

Zoznam súborov, ktoré sa v rámci týchto balíkov, kliknite na nasledujúce prepojenie:
Atribúty súboru tabuľky pre zabezpečenia aktualizácia 2661254.csv

Vlastnosti

ID článku: 2661254 - Posledná kontrola: 21. augusta 2012 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows 7 Service Pack 1, pri použití s produktom:
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, pri použití s produktom:
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, pri použití s produktom:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Balík Service Pack 2 pre systém Windows Vista, pri použití s produktom:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Balík Service Pack 1 pre systém Windows Vista, pri použití s produktom:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2, pri použití s produktom:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, pri použití s produktom:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
Kľúčové slová: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability kbmt KB2661254 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2661254

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com