Souhrn změn CryptoAPI logiky ověření řetězu certifikátu v Q835732 na Windows 2000 Service Pack 2 nebo novější verze

Překlady článku Překlady článku
ID článku: 887195 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Úvod

Tento článek obsahuje souhrn změn provedených CryptoAPI logiky ověření řetězu certifikátu v následující aktualizace zabezpečení pro Windows 2000 Service Pack 2 (SP2) nebo novější verze:
835732MS04-011: Aktualizace zabezpečení pro systém Microsoft Windows
Informace v tomto článku se týká také následující opravy hotfix:
329433Má-li certifikační úřad v řetězu dva certifikáty, je vybrán odvolaný certifikát (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Však Q329433 oprava hotfix byla nahrazena Q835732.

Další informace

CryptoAPI používá knihovnu Winhttp.dll pro načítání ze sítě namísto knihovnu Wininet.dll. Proto může nastat následující podmínky:
  • Již nejsou podporovány HTTPS URL jako distribuční přejděte odkazy, protože pomocí HTTPS URL může generovat rekurze odvolání smyčky.
  • FTP URL již nejsou podporovány.
  • Microsoft Cryptography API (CAPI) podporuje pouze Automatická konfigurace serveru proxy pomocí skriptů JavaScript založen. Například JS, PAC, JVS a .dat skripty.

    Další informace o konfiguracích ruční proxy klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    841641IIS po instalaci MS04-011 kvůli nastavení serveru proxy Wininet vrátí chybovou zprávu "odvolané certifikát 403.13 klienta"
  • CryptoAPI již používá mezipaměti aplikace Internet Explorer (Wininet.dll). Místo toho udržuje samostatný disk mezipaměti ve složce C:\Documents and Settings\ UserName \Application Data\Microsoft\CryptnetUrlCache.
  • Může selhat ověřování serverů proxy nepoužívejte Windows integrované ověřování některých aplikací. K tomuto chování dochází, protože je navržen pro použití službami neinteraktivním knihovny Winhttp.dll a nezobrazí výzvu uživateli síťová pověření.
Byly změněny výchozí hodnoty časových limitů sítě. Tato změna byla provedena nejprve na adresu problém CAPI blokování pro dlouho během přenos seznam odvolaných certifikátů (CRL) při URL cíl není přístupný. Ve výchozím nastavení je nový časový limit 15 sekund pro načítáními a 20 sekund každé ověření řetězu.

Při zpracování certifikáty s příponou přístup k informacím úřadu (AIA), zpracovat CryptoAPI pouze maximálně 10 adres URL pro každý řetěz certifikátů nebo pět URL pro každý certifikát. CryptoAPI také omezuje množství dat, která je pro každý řetěz certifikátů k 100 000 bajtů načíst. Tato omezení jsou určeny ke snížení potenciálních použití odkazy AIA v odmítnutí útoků služby.

Zjišťování křížového certifikátu a zahrnutí podporován prostřednictvím rozšíření křížového certifikátu distribuční bod (xDP). Podporovány jsou také následující funkce:
  • Rozdílové seznamy CRL jsou plně podporovány.
  • Kritické rozšíření Vystavitel distribuční bod (IDP) v CRL je podporována.

    Poznámka: CRL s onlyContainsUserCerts a onlyContainsCACerts bity jsou nastaveny IDP budou odmítnuty.
  • Název a zásady omezení certifikáty jsou podporovány.
  • Příznaky criticality v rozšíření CRL jsou respektována.
  • CRL kódováním Base-64 správně zpracována.
  • Styl X.500 rozlišující názvy CRL a AIA odkazy jsou podporovány.
  • Kde CryptoAPI může vybrat namísto aktivní certifikát odvolaný certifikát při vystavujícího certifikačního úřadu (CÚ) má dva certifikáty problém byl vyřešen.
Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
841632Po instalaci aktualizace zabezpečení MS04-11 se zobrazí chybová zpráva "odvolán certifikát 403.13 klienta"
841641IIS po instalaci MS04-011 kvůli nastavení serveru proxy Wininet vrátí chybovou zprávu "odvolané certifikát 403.13 klienta"
841642Po instalaci aktualizace zabezpečení MS04-011 počítač IIS 5.0 dojít k chybám pomocí klientských certifikátů
835732MS04-011: Aktualizace zabezpečení pro systém Microsoft Windows
329433Má-li certifikační úřad v řetězu dva certifikáty, je vybrán odvolaný certifikát (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 887195 - Poslední aktualizace: 13. února 2014 - Revize: 1.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbnosurvey kbarchive kbmt kbhowto kbinfo KB887195 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:887195

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com