Zusammenfassung der Änderungen an die CryptoAPI Zertifikatkette Validierungslogik in Q835732 unter Windows 2000 Service Pack 2 oder höheren Versionen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 887195 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Alles erweitern | Alles schließen

EINFÜHRUNG

Dieser Artikel enthält eine Zusammenfassung der Änderungen, die an die CryptoAPI Zertifikatkette Validierungslogik in das folgende Sicherheitsupdate für Microsoft Windows 2000 Service Pack 2 (SP2) oder höher vorgenommen werden:
835732MS04-011: Sicherheitsupdate für Microsoft Windows
Die Informationen in diesem Artikel gelten auch für den folgenden Hotfix:
329433Wenn eine Zertifizierungsstelle in der Kette zwei Zertifikate verfügt, wird ein gesperrtes Zertifikat ausgewählt.
Der Q329433 Hotfix wurde jedoch durch Q835732 ersetzt.

Weitere Informationen

CryptoAPI verwendet WinHTTP.dll Bibliothek für das Netzwerk abrufen instead of Wininet.dll Bibliothek. Daher können die folgenden Bedingungen auftreten:
  • HTTPS-URLs werden als Verteilungspunkt Verweise da HTTPS-URLs mit Rekursion Sperrung Schleifen generiert möglicherweise nicht mehr unterstützt.
  • FTP-URLs werden nicht mehr unterstützt.
  • Microsoft Cryptography API (CAPI) unterstützt die automatische Proxykonfiguration mithilfe von JavaScript-basierte Skripts. Z. B. js, PAC, JVS und DAT-Skripts.

    Weitere Informationen zum manuellen Proxykonfigurationen finden Sie die folgende KB-Artikelnummer:
    841641Nach der Installation von MS04-011 aufgrund der WinInet-Proxyeinstellungen, gibt IIS einen "403.13 Client Zertifikat gesperrt" Fehlermeldung zurück
  • CryptoAPI wird nicht mehr den Cache von Microsoft Internet Explorer (Wininet.dll) verwendet. Stattdessen verwaltet er einen separaten Datenträger-Cache im Ordner c:\Dokumente und Einstellungen\ UserName \Application Data\Microsoft\CryptnetUrlCache.
  • Authentifizierung mit Proxyservern, die keine integrierte Windows-Authentifizierung in einigen Anwendungen verwenden möglicherweise fehl. Dieses Verhalten, weil WinHTTP.dll Bibliothek für die Verwendung durch nicht interaktive Dienste vorgesehen und den Benutzer zur Netzwerk-Anmeldeinformationen keine fordert.
Netzwerk Timeouts Standardwerte wurden geändert. Diese Änderung wurde zuerst beheben das Problem der CAPI für lange während Zertifikatwiderrufsliste (CRL) Abrufe blockiert, wenn der Ziel-URL nicht verfügbar ist. Standardmäßig ist das neue Timeout 15 Sekunden für jeden Abruf und 20 Sekunden für die einzelnen Kette Validierung.

Wenn Sie Zertifikate mit der Erweiterung Stelleninformationen (Authority Information Access, AIA) verarbeitet, verarbeitet CryptoAPI nur maximal fünf URLs für jedes Zertifikat oder 10 URLs für jede Zertifikatkette. CryptoAPI außerdem beschränkt die Datenmenge, die für jede Zertifikatkette auf 100.000 Bytes abgerufen wird. Diese Einschränkungen sollen die mögliche Verwendung von AIA Verweise in Denial-of-Service-Angriffe zu einer Reduzierung.

Kreuzzertifikat-Ermittlung und Aufnahme werden durch die Zuordnung Zertifikat Verteilungspunkt-Erweiterung (xDP) unterstützt. Die folgenden Features werden ebenfalls unterstützt:
  • Delta-CRLs werden vollständig unterstützt.
  • Die kritische Erweiterung IDP (Aussteller Distribution Point) in CRL wird unterstützt.

    Hinweis: CRLs mit OnlyContainsUserCerts und OnlyContainsCACerts Bits, die in der IDP festgelegt sind werden zurückgewiesen.
  • Namen und die Richtlinie Einschränkungen in Zertifikaten werden unterstützt.
  • Wichtigkeit Flags in CRL-Erweiterungen werden eingehalten.
  • Base64-codierte CRLs werden ordnungsgemäß verarbeitet.
  • X. 500-Stil definierten Namen für die ZERTIFIKATSPERRLISTE und AIA-Verweise werden unterstützt.
  • Das Problem, CryptoAPI ein gesperrtes Zertifikat anstelle eines aktiven Zertifikats auswählen kann Wenn zwei Zertifikate der ausstellenden Zertifizierungsstelle (CA) wurde behoben.
Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
841632Nachdem Sie das MS04-11-Sicherheitsupdate installieren, wird eine "403.13 Clientzertifikat widerrufen" Fehlermeldung
841641Nach der Installation von MS04-011 aufgrund der WinInet-Proxyeinstellungen, gibt IIS einen "403.13 Client Zertifikat gesperrt" Fehlermeldung zurück
841642Fehler bei Client-Zertifikate auftreten nach der Installation des MS04-011-Sicherheitsupdates auf einem IIS 5.0-computer
835732MS04-011: Sicherheitsupdate für Microsoft Windows
329433Wenn eine Zertifizierungsstelle in der Kette zwei Zertifikate verfügt, wird ein gesperrtes Zertifikat ausgewählt.

Eigenschaften

Artikel-ID: 887195 - Geändert am: Donnerstag, 30. Januar 2014 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbnosurvey kbarchive kbmt kbhowto kbinfo KB887195 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 887195
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com