Microsoft Security Warning: C?p Nh?t cho chi?u dài khóa ch?ng ch? t?i thi?u

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 2661254 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

GI?I THI?U

Microsoft đ? phát hành m?t c? v?n an ninh Microsoft cho các chuyên gia CNTT. Watch này tuyên b? r?ng vi?c s? d?ng gi?y ch?ng nh?n RSA Key ít hơn 1024 bit dài s? b? ch?n. Đ? xem c? v?n an ninh, đi đ?n web site c?a Microsoft sau đây:
http://technet.Microsoft.com/Security/Advisory/2661254
Đ? gi?m nguy cơ b? phơi nhi?m trái phép thông tin nh?y c?m, Microsoft đ? phát hành m?t C?p Nh?t nonsecurity (KB 2661254) cho t?t c? các phiên b?n đư?c h? tr? c?a Microsoft Windows. B?n c?p nh?t này s? ch?n m?t m? phím ít hơn 1024 bit dài. B?n c?p nh?t này không áp d?ng cho Windows 8 phát hành Xem trư?c ho?c Windows Server 2012 Release Candidate v? nh?ng hệ điều hành đ? bao g?m các ch?c năng đ? ngăn ch?n vi?c s? d?ng ch?a khóa RSA y?u mà ít hơn 1024 bit dài.

Thông tin thêm

S?c m?nh c?a công chúng ch?a khóa trên thu?t toán m?t m? đư?c xác đ?nh theo th?i gian mà nó c?n đ? l?y ch?a khóa tư nhân b?ng cách s? d?ng phương pháp brute-l?c. Các thu?t toán đư?c coi là m?nh đ? khi th?i gian mà nó c?n đ? l?y ch?a khóa tư nhân là đ? prohibitive b?ng cách s? d?ng tính năng lúc x? l?. C?nh quan m?i đe d?a ti?p t?c ti?n tri?n. V? v?y, Microsoft thêm c?ng các tiêu chí cho các thu?t toán RSA v?i đ? dài khóa mà ít hơn 1024 bit dài.

Sau khi C?p Nh?t đư?c áp d?ng, ch? ch?ng ch? v? chu?i đư?c xây d?ng b?ng cách s? d?ng các CertGetCertificateChain ch?c năng b? ?nh hư?ng. CryptoAPI xây d?ng m?t chu?i s? tin tư?ng ch?ng ch? và xác nh?n r?ng chu?i b?ng cách s? d?ng th?i gian hi?u l?c, thu h?i ch?ng ch? và gi?y ch?ng nh?n chính sách (ví d? như m?c đích d? đ?nh). C?p Nh?t th?c hi?n m?t ki?m tra b? sung đ? đ?m b?o r?ng không có gi?y ch?ng nh?n trong chu?i có m?t chi?u dài khóa RSA ít hơn 1024 bit.

Các v?n đ? đư?c bi?t đ?n v?i b?n c?p nh?t b?o m?t này

Sau khi C?p Nh?t đư?c áp d?ng:
  • Kh?i đ?ng l?i đư?c yêu c?u.
  • M?t th?m quy?n xác th?c (CA) không th? c?p gi?y ch?ng nh?n RSA có m?t chi?u dài khóa ít hơn 1024 bit.
  • b?n ghi d?ch v? CA (certsvc) không th? B?t đ?u khi CA đang dùng m?t ch?ng ch? RSA có chi?u dài ít hơn 1024 bit quan tr?ng.
  • Internet Explorer s? không cho phép truy c?p vào m?t web site đư?c b?o v? b?ng cách s? d?ng m?t gi?y ch?ng nh?n RSA có chi?u dài ít hơn 1024 bit quan tr?ng.
  • Outlook 2010 không th? đư?c dùng đ? m?t m? hóa b?c e-mail n?u nó đang dùng m?t ch?ng ch? RSA có chi?u dài ít hơn 1024 bit quan tr?ng. Tuy nhiên, b?c e-mail đ? đư?c m? hóa b?ng cách s? d?ng m?t gi?y ch?ng nh?n RSA v?i chi?u dài khóa đó là ít hơn 1024 bit có th? đư?c gi?i m? sau khi C?p Nh?t đư?c cài đ?t chuyên bi?t.
  • Outlook 2010 không th? đư?c dùng đ? được kí theo số thức b?c e-mail cho n?u nó đang dùng m?t ch?ng ch? RSA có chi?u dài chính đó là ít hơn 1024 bit.
  • Khi b?c e-mail đư?c nh?n trong Outlook 2010 có m?t ch? được kí theo số thức ho?c đư?c m? hóa b?ng cách s? d?ng m?t gi?y ch?ng nh?n RSA có m?t chi?u dài khóa ít hơn 1024 bit, ngư?i dùng nh?n đư?c m?t l?i nói r?ng ch?ng ch? là không đáng tin c?y. Ngư?i dùng v?n có th? xem b?c e-mail đ? m?t m? hóa hay đánh d?u ki?m.
  • Outlook 2010 không th? k?t n?i v?i Microsoft Exchange server đang dùng m?t ch?ng ch? RSA có chi?u dài ít hơn 1024 bit quan tr?ng cho SSL/TLS. L?i sau s? đư?c hi?n th?: "thông tin b?n trao đ?i v?i site này không th? đư?c xem ho?c thay đ?i b?i nh?ng ngư?i khác. Tuy nhiên, không có v?n đ? v?i ch?ng ch? b?o m?t c?a web site. Ch?ng ch? b?o m?t không h?p l?. Các web site không ph?i là đáng tin c?y."
  • C?nh báo b?o m?t c?a "Không r? xu?t b?n" đư?c báo cáo, nhưng vi?c cài đ?t chuyên bi?t có th? ti?p t?c trong các trư?ng h?p sau:
    • Ch? k? v?i m? xác th?c r?ng đ? là th?i gian đóng d?u ki?m vào năm 2010 ho?c vào m?t ngày sau đó, và đó đư?c k? k?t v?i m?t gi?y ch?ng nh?n b?ng cách s? d?ng m?t gi?y ch?ng nh?n RSA có m?t chi?u dài khóa ít hơn 1024 bit đang g?p ph?i.
    • ki?m nh?p b?ng cách s? d?ng m?t gi?y ch?ng nh?n RSA có m?t chi?u dài khóa ít hơn 1024 bit cài đ?t chuyên bi?t.
    • đi?u khi?n ActiveX đ? đăng b?ng cách s? d?ng m?t gi?y ch?ng nh?n RSA có chi?u dài ít hơn 1024 bit quan tr?ng. X đang ho?t đ?ng đi?u khi?n đ? đư?c cài đ?t chuyên bi?t trư?c khi cài đ?t chuyên bi?t b?n c?p nh?t này s? không b? ?nh hư?ng.
  • Máy tính trung tâm HP-UX PA-RISC h? th?ng s? d?ng m?t gi?y ch?ng nh?n RSA v?i chi?u dài khóa 512 bit s? t?o ra nh?p tim c?nh báo và t?t c? các ho?t đ?ng qu?n l? giám sát các máy tính s? th?t b?i. "SSL gi?y ch?ng nh?n l?i" c?ng s? đư?c t?o ra v?i các mô t? "k? xác nh?n gi?y ch?ng nh?n." Ngoài ra, Operations Manager s? không khám phá máy tính HP-UX PA-RISC m?i v? m?t l?i "xác minh đ? k? gi?y ch?ng nh?n". H? th?ng Trung tâm khách hàng máy tính HP-UX PA-RISC có đư?c khuy?n khích đ? phát hành l?i RSA gi?y ch?ng nh?n v?i đ? dài khóa ít 1024 bit. Đ? bi?t thêm chi ti?t, h?y vào web site TechNet sau đây:
    Quan tr?ng: HP-UX PA-RISC máy tính giám sát b?i Operations Manager s? kinh nghi?m nh?p tim và giám sát th?t b?i sau khi m?t b?n c?p nh?t Windows s?p t?i
Lưu ? M? hóa EFS không b? ?nh hư?ng b?i b?n c?p nh?t này.

Khám phá RSA gi?y ch?ng nh?n v?i đ? dài khóa ít hơn 1024 bit

Có b?n chính phương pháp đ? phát hi?n n?u RSA gi?y ch?ng nh?n v?i phím ít hơn 1024 bit s? d?ng:
  • Ki?m tra gi?y ch?ng nh?n và ch?ng nh?n đư?ng d?n b?ng tay
  • S? d?ng CAPI2 kí nh?p
  • Ki?m tra gi?y ch?ng nh?n m?u
  • Kích ho?t tính năng kí nh?p vào máy tính có b?n C?p Nh?t đư?c cài đ?t chuyên bi?t

Ki?m tra gi?y ch?ng nh?n và ch?ng nh?n đư?ng d?n b?ng tay

B?n có th? ki?m tra gi?y ch?ng nh?n b?ng tay b?ng cách m? chúng và xem các lo?i, phím dài, và đư?ng d?n ch?ng nh?n. B?n có th? làm đi?u này b?ng xem (thư?ng là b?ng cách b?m đúp vào) b?t k? gi?y ch?ng nh?n đ? đư?c phát hành trong n?i b?. Trên Đư?ng d?n ch?ng nh?n tab, b?m vào ch?ng ch? xem cho m?i gi?y ch?ng nh?n trong chu?i đ? đ?m b?o r?ng t?t c? các gi?y ch?ng nh?n RSA đang s? d?ng ít 1024 bit chính dài.

Ví d?, ch?ng ch? trong các con s? sau đây đ? đư?c phát hành đ? m?t b? đi?u khi?n tên mi?n (2003DC.adatum.com) t? m?t ngư?i ch? doanh nghi?p CA tên là AdatumRootCA. B?n có th? ch?n ch?ng ch? AdatumRootCA trên tab Đư?ng d?n ch?ng nh?n .

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
Ch?ng nh?n đư?ng d?n tab


Đ? xem ch?ng ch? AdatumRootCA, b?m vào Ch?ng ch? xem. Trên ngăn chi ti?t , ch?n khóa công khai đ? xem kích thư?c ch? ch?t, như th? hi?n trong con s? sau đây.

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
Xem ch?ng ch?


Ch?ng ch? RSA cho AdatumRootCA trong ví d? này là 2048 bit.

S? d?ng CAPI2 kí nh?p

Trên máy tính đang ch?y Windows Vista ho?c Windows Server 2008 ho?c phiên b?n m?i nh?t c?a Windows, b?n có th? s? d?ng CAPI2 kí nh?p đ? giúp xác đ?nh các phím có chi?u dài ít hơn 1024 bit. B?n có th? sau đó cho phép các máy tính đ? th?c hi?n các ho?t đ?ng b?nh thư?ng và sau đó ki?m tra Nh?t k? đ? giúp xác đ?nh các phím có chi?u dài ít hơn 1024 bit. Sau đó, b?n có th? s? d?ng thông tin đó đ? theo d?i các ngu?n gi?y ch?ng nh?n và th?c hi?n nh?ng C?p Nh?t c?n thi?t.

Đ? làm đi?u này, trư?c tiên b?n ph?i cho phép ti?t đo?n khai thác g?. Cho phép ghi nh?t k? ch? đ? ti?t, h?y làm theo các bư?c sau:

1. M? Registry Editor (Regedit.exe).

2. Đi?u hư?ng t?i đăng ky sau đây:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Thêm m?t DWORD (32-bit) value DiagLevel v?i giá tr? c?a 0x00000005.

4. Thêm m?t QWORD (64-bit) value DiagMatchAnyMask v?i giá tr? c?a 0x00ffffff.

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
M?c nh?p DiagMatchAnyMask registry


Sau khi b?n làm đi?u này, b?n có th? sau đó kích ho?t CAPI2 ho?t đ?ng trong s? ki?n kí nh?p xem. kí nh?p CAPI2 ho?t đ?ng này n?m dư?i các ?ng d?ng và b?n ghi d?ch v? b?n ghi, Microsoft, Windows, và CAPI2 trong Event Viewer. Đ? cho phép khai thác g?, b?m chu?t ph?i vào Operational kí nh?p, b?m vào Cho phép kí nh?p, và sau đó nh?p vào B? l?c kí nh?p hi?n t?i. B?m vào các XML tab, và sau đó b?m vào đ? ch?n các Ch?nh s?a các truy v?n b?ng tay hộp kiểm.
Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
Cho phép kí nh?p


Sau khi b?n đ? thu th?p các kí nh?p, b?n có th? s? d?ng các b? l?c sau đ? gi?m s? lư?ng các m?c mà b?n c?n ph?i tra c?u throughto t?m gi?y ch?ng nh?n ho?t đ?ng v?i các phím có chi?u dài ít hơn 1024 bit. Các b? l?c sau s? cho phím 512 bit.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[userdata[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]]]] và UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]]</Select>

</Query>

</QueryList>

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
B? l?c kí nh?p hi?n t?i


B?n c?ng có th? truy v?n cho nhi?u phím dài v?i m?t truy v?n duy nh?t. Cho ví d?, các truy v?n b? l?c sau cho 384-bit phím và 512-bit phím.

<QueryList>

<Query id="0" path="Microsoft-Windows-CAPI2/Operational">

<Select path="Microsoft-Windows-CAPI2/Operational">Event[userdata[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384 ']]]]] và UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]] ho?c Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512 ']]]]] và UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA ']]]]]]</Select>

</Query>

</QueryList>

Ki?m tra gi?y ch?ng nh?n m?u

B?n có th? ch?y truy v?n sau đây v? cơ quan ch?ng nh?n c?a b?n (CAs) đ? khám phá b?n m?u gi?y ch?ng nh?n s? d?ng phím ít hơn 1024 bit:

certutil – dstemplate | FINDSTR "[msPKI-t?i thi?u-Key-Size" | findstr/v "1024 2048 4096"

Lưu ? B?n nên ch?y l?nh trong m?i r?ng trong t? ch?c c?a b?n.

N?u b?n ch?y truy v?n này, m?u s? d?ng phím nh? hơn 1024 bit s? đư?c hi?n th? v?i kích thư?c chính c?a h?. Các con s? sau đây cho th?y r?ng hai trong s? các b?n m?u đư?c xây d?ng trong, SmartcardLogon và SmartcardUser, có đ? dài khóa m?c đ?nh mà có t?i thi?u khoá 512 bit. B?n c?ng có th? khám phá các m?u mà đ? đư?c nhân đôi v?i t?i thi?u khoá ít hơn 1024 bit.

Cho m?i m?u mà b?n khám phá cho phép ít hơn 1024 bit phím, b?n nên quy?t đ?nh cho dù nó có th? đ?n v?n đ? c?p gi?y ch?ng nh?n như đư?c hi?n th? trong Gi?y ch?ng nh?n m?u ph?n c?a giao di?n đi?u khi?n Certification Authority.

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
Gi?y ch?ng nh?n m?u ph?n


Kích ho?t tính năng kí nh?p vào máy tính có b?n C?p Nh?t đư?c cài đ?t chuyên bi?t

B?n có th? s? d?ng thi?t đ?t ki?m nh?p đ? cho phép máy tính có b?n C?p Nh?t đư?c áp d?ng đ? xác đ?nh v? trí RSA gi?y ch?ng nh?n v?i đ? dài khóa ít hơn 1024 bit. Các tùy ch?n cho vi?c th?c hi?n kí nh?p đư?c di?n t? trong ph?n "Ngh? quy?t" b?i v? nó k?t h?p ch?t ch? v?i các thi?t đ?t ki?m nh?p có th? đư?c s? d?ng đ? cho phép đ? dài khóa ít hơn 1024 bit. H?y xem ph?n "Cho phép đ? dài khóa ít hơn 1024 bit b?ng cách s? d?ng thi?t đ?t đăng k?" sau này trong bài vi?t này cho bi?t thêm thông tin v? làm th? nào đ? cho phép ghi s?.

Ngh? quy?t

Vi?c gi?i quy?t chính cho b?t k? v?n đ? liên quan đ?n ch?n c?a m?t ch?ng ch? có chi?u dài ít hơn 1024 bit quan tr?ng là đ? th?c hi?n m?t l?n hơn (1024 bit quan tr?ng dài ho?c l?n hơn) gi?y ch?ng nh?n. Chúng tôi đ? ngh? r?ng ngư?i dùng th?c hi?n gi?y ch?ng nh?n có m?t chi?u dài khóa ít 2048 bit.

Tăng kích thư?c quan tr?ng cho các gi?y ch?ng nh?n đ? ban hành thông qua ch?ng ch? autoenrollment

Đ?i v?i m?u cung c?p gi?y ch?ng nh?n RSA v?i đ? dài khóa ít hơn 1024 bit, b?n nên xem xét tăng kích thư?c t?i thi?u ch? ch?t đ? cài đ?t chuyên bi?t m?t ít 1024 bit. Đi?u này gi? đ?nh r?ng các thi?t b? mà nh?ng ch?ng ch? đư?c c?p h? tr? cho m?t kích thư?c l?n hơn quan tr?ng.

Sau khi b?n tăng kích thư?c t?i thi?u chính, s? d?ng các tùy ch?n Reenroll t?t c? các ch?ng ch? ch? trong các Giao di?n đi?u khi?n m?u gi?y ch?ng nh?n đ? gây ra các khách hàng máy tính đ? Reenroll và yêu c?u m?t kích thư?c l?n hơn quan tr?ng.

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
th? thông minh kí nh?p


N?u b?n đ? c?p gi?y ch?ng nh?n b?ng cách s? d?ng các b?n m?u th? thông minh kí nh?p ho?c ngư?i dùng th? thông minh đư?c xây d?ng trong, b?n s? không th? đ? đi?u ch?nh kích thư?c chính t?i thi?u c?a các m?u tr?c ti?p. Thay vào đó, b?n s? ph?i l?p l?i các m?u, tăng kích thư?c quan tr?ng trên các m?u trùng l?p, và sau đó thay th? cho m?u ban đ?u v?i m?u nhân đôi.

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
C?p Nh?t Smartcard kí nh?p thu?c tính


Sau khi b?n thay th? cho m?t m?u, dùng tùy ch?n Reenroll t?t c? các ch?ng ch? ch? đ? gây ra các khách hàng máy tính đ? Reenroll và yêu c?u m?t kích thư?c l?n hơn quan tr?ng.

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
Reenroll t?t c? các ch? s? h?u ch?ng ch?


Cho phép đ? dài khóa ít hơn 1024 bit b?ng cách s? d?ng thi?t đ?t ki?m nh?p

Microsoft không khuyên b?n nên khách hàng s? d?ng gi?y ch?ng nh?n ít hơn 1024 bit dài. Khách hàng có th? Tuy nhiên c?n m?t workaround t?m th?i trong khi m?t gi?i pháp lâu dài hơn đư?c phát tri?n đ? thay th? RSA gi?y ch?ng nh?n v?i m?t chi?u dài khóa ít hơn 1024 bit dài. Trong nh?ng trư?ng h?p này, Microsoft là cung c?p cho khách hàng các kh? năng thay đ?i cách các ch?c năng C?p Nh?t. Khách hàng c?u h?nh các cài đ?t chuyên bi?t này ch?p nh?n r?i ro mà k? t?n công có th? phá v? gi?y ch?ng nh?n c?a h? và s? d?ng chúng đ? spoof n?i dung, th?c hi?n các cu?c t?n công l?a đ?o tr?c tuy?n ho?c th?c hi?n các cu?c t?n công c?a ngư?i đàn ông-trong-trung.

Quan tr?ng Ph?n này, phương pháp, ho?c công vi?c có bư?c mà cho b?n bi?t làm th? nào đ? thay đ?i s? ki?m nh?p. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? ki?m nh?p trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? ki?m nh?p n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi phục s? ki?m nh?p, h?y nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Làm th? nào đ? sao lưu và khôi phục s? ki?m nh?p trong Windows
Windows 8 hay Windows Server 2012 d?a trên các máy tính có b?n C?p Nh?t đư?c áp d?ng, các đư?ng d?n ki?m nh?p và cài đ?t chuyên bi?t có th? đư?c s? d?ng đ? ki?m soát vi?c phát hi?n và ngăn ch?n c?a RSA gi?y ch?ng nh?n v?i ít hơn 1024 bit chính dài.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Có b?n giá tr? chính mà ki?m soát như th? nào phím dư?i 1024 bit ch?n ho?t đ?ng. Đây là như sau:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
M?i ngư?i trong s? các giá tr? và nh?ng g? h? ki?m soát đư?c th?o lu?n trong các ph?n sau.

hệ điều hành B?t đ?u v?i Windows Vista và Windows Server 2008, b?n có th? s? d?ng certutil l?nh đ? thay đ?i các thi?t đ?t ki?m nh?p. Trên Windows XP, Windows Server 2003 và Windows Server 2003 R2, b?n không th? s? d?ng certutil l?nh đ? thay đ?i các thi?t đ?t ki?m nh?p. Tuy nhiên, b?n có th? s? d?ng k? biên so?n, reg l?nh ho?c reg t?p.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength là m?t giá tr? DWORD r?ng đ?nh ngh?a t?i thi?u đư?c phép RSA phím dài. theo m?c đ?nh, giá tr? này không ph?i là hi?n nay, và t?i thi?u cho phép chi?u dài khóa RSA là 1024. B?n có th? s? d?ng certutil đ? thi?t l?p giá tr? này đ? 512 b?ng cách ch?y l?nh sau:

certutil - setreg chain\minRSAPubKeyBitLength 512

Lưu ?T?t c? các l?nh certutil đư?c hi?n th? trong bài vi?t này yêu c?u quy?n qu?n tr? viên đ?a phương v? h? đang thay đ?i s? ki?m nh?p. B?n có th? b? qua tin thư thoại mà đ?c "các b?n ghi d?ch v? CertSvc có th? ph?i kh?i đ?ng l?i đ? thay đ?i có hi?u l?c." Đó là không c?n thi?t cho các l?nh này b?i v? h? không ?nh hư?ng đ?n các b?n ghi d?ch v? ch?ng ch? (CertSvc).

B?n có th? tr? l?i đ? ch?n phím có chi?u dài ít bit than1024 b?ng cách lo?i b? giá tr?. Đ? làm đi?u này, h?y ch?y l?nh certutil sau:

certutil - delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Giá tr? DWORD EnableWeakSignatureFlags có 3 giá tr? ti?m năng: 2, 4, 6, và 8. các cài đ?t chuyên bi?t này thay đ?i hành vi c?a như th? nào các phím dư?i 1024 bit phát hi?n và ngăn ch?n ho?t đ?ng. Các thi?t đ?t này đư?c mô t? trong b?ng sau:
Thu g?n b?ng nàyBung r?ng b?ng này
Giá tr? th?p phânMô t?
2Khi kích ho?t, ch?ng ch? g?c (trong th?i gian xây d?ng chu?i) đư?c cho phép đ? có m?t ch?ng ch? RSA v?i chi?u dài khóa ít hơn 1024 bit. Ch?n c?a RSA ch?ng ch? th?p hơn trong chu?i (n?u h? có ít hơn 1024 bit phím) là v?n c?n ? có hi?u l?c. Lá c? đư?c kích ho?t khi giá tr? này đư?c thi?t l?p là như CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Cho phép kí nh?p, nhưng v?n c?n thi hành ch?n RSA gi?y ch?ng nh?n b?ng phím ít hơn 1024 bit. Khi nó đư?c kích ho?t, WeakSignatureLogDir đư?c yêu c?u. T?t c? các phím v?i ít hơn 1024 bit dài g?p ph?i đư?c sao chép vào m?c tin thư thoại WeakSignatureLogDir v?t l?. Lá c? đư?c kích ho?t khi giá tr? này đư?c thi?t l?p như CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Khi nó đư?c kích ho?t, ch?ng ch? g?c đư?c cho phép đ? có m?t gi?y ch?ng nh?n RSA Key m?t ít hơn 1024 bit và WeakSignatureLogDir đư?c yêu c?u. T?t c? các phím dư?i đây ch?ng ch? g?c có phím ít hơn 1024 bit đư?c ch?n và đăng vào m?c tin thư thoại đư?c xác đ?nh là WeakSignatureLogDir.
8Cho phép ghi s? và không thi hành ch?n phím có chi?u dài ít hơn 1024 bit. Khi nó đư?c kích ho?t, WeakSignatureLogDir đư?c yêu c?u. T?t c? các phím g?p có đ? dài ít hơn 1024 bit đư?c sao chép vào m?c tin thư thoại WeakSignatureLogDir v?t l?. Lá c? đư?c kích ho?t khi giá tr? này đư?c thi?t l?p là như CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Ví d?

Đ? cho phép m?t ch?ng ch? g?c RSA có chi?u dài khóa ít hơn 1024 bit, s? d?ng certutil l?nh sau:

certutil - setreg chain\EnableWeakSignatureFlags 2

Đ? cho phép ghi s? trong khi v?n ch?n ch?ng ch? s? d?ng m?t chi?u dài khóa ít hơn 1024 bit, s? d?ng certutil l?nh sau:

certutil - setreg chain\EnableWeakSignatureFlags 4

Đ? cho phép ghi s? c?a ch?ng ch? RSA ch? dư?i đây ch?ng ch? g?c có m?t chi?u dài khóa ít hơn 1024 bit, s? d?ng certutil l?nh sau:

certutil - setreg chain\EnableWeakSignatureFlags 6

Đ? cho phép kí nh?p ch? và không ch?n phím dài ít hơn 1024 bit, s? d?ng certutil l?nh sau:

certutil - setreg chain\EnableWeakSignatureFlags 8

Lưu ? Khi b?n cho phép ghi s? (thi?t l?p 4, 6, ho?c 8 th?p phân), b?n c?ng ph?i c?u h?nh m?t m?c tin thư thoại kí nh?p dư?i tên đư?c di?n t? trong ph?n k? ti?p.

WeakSignatureLogDir

Khi xác đ?nh, ch?ng ch? có m?t chi?u dài khóa ít hơn 1024 bit đư?c vi?t vào m?c tin thư thoại đ? ch? đ?nh. Ví d?, C:\Under1024KeyLog có th? là các d? li?u cho các giá tr? này. Tùy ch?n này đư?c yêu c?u khi EnableWeakSignatureFlags đư?c thi?t l?p đ? 4 ho?c 8. H?y ch?c ch?n r?ng b?n c?u h?nh b?o m?t vào m?c tin thư thoại đư?c ch? đ?nh đ? cho c? Authenticated ngư?i dùng và nhóm c?c b? T?t c? các ?ng d?ng gói đ? thay đ?i quy?n truy c?p. Đ? thi?t l?p giá tr? này cho C:\Under1024KeyLog, b?n có th? s? d?ng certutil l?nh sau:

Certutil - setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

B?n c?ng có th? c?u h?nh WeakSignatureLogDir đ? vi?t thư cho c?p m?ng chia s?. H?y ch?c ch?n r?ng b?n có quy?n thích h?p c?u h?nh cho v? trí m?ng đ? t?t c? các c?u h?nh ngư?i s? d?ng có th? ghi vào m?c tin thư thoại đư?c chia s?. L?nh sau đây là m?t ví d? c?a c?u h?nh WeakSignatureLogDir đ? vi?t thư cho m?t m?c tin thư thoại có tên phím đó là trong m?t m?c tin thư thoại đư?c chia s? m?ng có tên RSA ngày Server1:

Certutil - setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime là m?t giá tr? REG_BINARY 8 byte có ch?a m?t Windows FILETIME ki?u d? li?u đư?c lưu tr? như UTC/GMT. Giá tr? này là s?n dùng ch? y?u đ? gi?m v?n đ? ti?m năng b?ng cách ch?n phím có chi?u dài ít hơn 1024 bit cho ch? k? v?i m? xác th?c. Ch?ng ch? đư?c s? d?ng đ? kí nh?p m? trư?c khi c?u h?nh ngày và th?i gian không đư?c ki?m tra cho các phím có chi?u dài ít hơn 1024 bit. theo m?c đ?nh giá tr? ki?m nh?p này không ph?i là hi?n nay và đư?c coi là bu?i sáng s?m ngày 1 tháng 1 năm 2010 lúc n?a đêm UTC/GMT.

Lưu ?Thi?t đ?t này ch? đư?c áp d?ng khi m?t ch?ng ch? đư?c s? d?ng đ? v?i m? xác th?c đăng m?t t?p tin th?i gian đóng d?u ki?m. N?u các m? không ph?i là th?i gian đóng d?u ki?m, sau đó th?i gian hi?n nay s? d?ng và cài đ?t chuyên bi?t WeakRsaPubKeyTime không đư?c s? d?ng.

Thi?t l?p WeakRsaPubKeyTime cho phép c?u h?nh c?a ngày mà đ? xem xét c? ch? k? h?p l?. N?u b?n có l? do đ? thi?t l?p m?t ngày khác nhau và th?i gian cho WeakRsaPubKeyTime, b?n s? có th? dùng certutil đ? thi?t l?p m?t khác nhau. Ví d?, n?u b?n mu?n đ?t ngày 29 tháng 8 năm 2010, b?n có th? s? d?ng l?nh sau đây:

certutil - setreg chain\WeakRsaPubKeyTime @ 08/03/2010

N?u b?n ph?i thi?t l?p m?t th?i gian c? th?, ch?ng h?n như 6: 00 PM ngày 4 tháng 7 năm 2011, sau đó thêm s? ngày và gi? trong đ?nh d?ng + [dd:hh] vào l?nh. B?i v?, 6: 00 PM 18 gi? sau khi n?a đêm ngày 4 tháng 7 năm 2011, b?n s? ch?y l?nh sau:

certutil - setreg chain\WeakRsaPubKeyTime @ 01/15/2011 + 00: 18

C?u h?nh c?p gi?y ch?ng nh?n trên Internet Information Services (IIS)

N?u b?n m?t m?t khách hàng IIS ngư?i đ? c?p ch?ng ch? m?i là 1024 bit ho?c lâu hơn, xem các bài vi?t sau đây:
Làm th? nào đ? thi?t l?p SSL trong IIS 7
SSL và gi?y ch?ng nh?n trong IIS 6

Gi?i pháp

Các t?p tin sau đây có s?n đ? t?i v? t? Microsoft Download Center:


Cho t?t c? các h? tr? x 86 d?a trên phiên b?n c?a Windows XP

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 64 d?a trên các phiên b?n c?a Windows XP Professional x 64 edition

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 86 d?a trên phiên b?n c?a Windows Server 2003

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 64 d?a trên các phiên b?n c?a Windows Server 2003

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? IA-64 d?a trên các phiên b?n c?a Windows Server 2003

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 86 d?a trên phiên b?n c?a Windows Vista

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 64 d?a trên các phiên b?n c?a Windows Vista

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 86 d?a trên phiên b?n Windows Server 2008

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 64 d?a trên các phiên b?n c?a Windows Server 2008

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? IA-64 d?a trên các phiên b?n c?a Windows Server 2008

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 86 d?a trên phiên b?n c?a Windows 7

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 64 d?a trên các phiên b?n c?a Windows 7

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 64 d?a trên các phiên b?n c?a Windows Server 2008 R2

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? IA-64 d?a trên các phiên b?n c?a Windows Server 2008 R2

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 86 d?a trên phiên b?n c?a Windows Embedded tiêu chu?n 7

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Cho t?t c? các h? tr? x 64 d?a trên các phiên b?n c?a Windows Embedded tiêu chu?n 7

Thu g?n h?nh ?nh nàyBung r?ng h?nh ?nh này
T?i v?
T?i v? các gói bây gi?.

Ngày phát hành: Tháng Tám 14, 2012

Cho bi?t thêm thông tin v? làm th? nào đ? t?i v? Microsoft h? tr? t?p tin, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
119591 Làm th? nào đ? có đư?c Microsoft h? tr? t?p tin t? các b?n ghi d?ch v? tr?c tuy?n
Microsoft quét t?p tin này cho vi-rút. Microsoft s? d?ng ph?n m?m phát hi?n virus m?i nh?t có s?n trên ngày mà các t?p tin đ? đư?c đăng. Các t?p tin đư?c lưu tr? trên tăng cư?ng b?o m?t máy ch? có th? giúp ngăn ng?a b?t k? thay đ?i không đư?c phép đ? các t?p tin.

THÔNG TIN V? T?P

Đ?i v?i m?t danh sách các t?p tin đư?c cung c?p trong các gói, b?m vào liên k?t sau:
T?p tin thu?c tính b?ng cho an ninh C?p Nh?t 2661254.csv

Thu?c tính

ID c?a bài: 2661254 - L?n xem xét sau cùng: 21 Tháng Tám 2012 - Xem xét l?i: 1.0
Áp d?ng
T? khóa: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability kbmt KB2661254 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 2661254

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com