CryptoAPI 証明書チェーンの検証ロジックで Windows 2000 Service Pack 2 またはそれ以降のバージョンの Q835732 への変更の概要

文書翻訳 文書翻訳
文書番号: 887195 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

概要

ここでは、CryptoAPI 証明書チェーンの検証ロジック Microsoft Windows 2000 Service Pack 2 (SP2) またはそれ以降のバージョンの次のセキュリティ更新プログラムには、行った変更の概要について説明します。
835732Microsoft Windows のセキュリティ更新プログラム MS04-011: セキュリティ更新プログラム
この資料に情報は、次の修正プログラムにも適用されます。
329433チェーン内の証明機関がある 2 つの証明書失効した証明書が選択されます。
ただし、Q329433、修正プログラムが Q835732 によって置き換えされました。

詳細

CryptoAPI は、Wininet.dll ライブラリではなくネットワーク取得するため、Winhttp.dll ライブラリを使用します。 このため、次の条件が発生する可能性があります。
  • HTTPS URL は、再帰失効ループ HTTPS URL を使用して生成があるためにの配布ポイントの参照としてサポートされていません。
  • FTP の URL はサポートされていません。
  • JavaScript ベースのスクリプトを使用して、自動プロキシ構成のみをサポートする Microsoft 暗号化 API (CAPI) します。 たとえば、.js、.pac、.jvs、および.dat スクリプトです。

    手動プロキシ構成の追加についてはをクリックして以下「サポート技術情報」(Microsoft Knowledge Base) 資料を参照。
    841641MS04-011 のインストール後、WinInet プロキシの設定が原因で、IIS により "403.13 クライアント証明書が無効です" というエラー メッセージが表示される
  • CryptoAPI は、Internet Explorer (Wininet.dll) キャッシュをなった使用します。 代わりに、別のディスク キャッシュ、C:\Documents と Settings\ の UserName </a0>] \Application Data\Microsoft\CryptnetUrlCache フォルダー内に維持します。
  • 失敗をいくつかのアプリケーションで Windows 統合認証を使用しないプロキシ サーバーへの認証することがあります。 この現象は、Winhttp.dll ライブラリ非対話型サービスで使用するためですをユーザー ネットワーク資格情報を入力しないために発生します。
ネットワークの既定のタイムアウト値が変更されました。 この変更をターゲット URL がアクセスできない場合に CAPI 証明書失効リスト (CRL) の取得中に長い時間ブロックの問題に対処しました最初。 既定では、新しいタイムアウトは 15 秒ごとの取得および各チェーンの検証を 20 秒です。

機関情報アクセス (AIA) の拡張子を持つ証明書を処理するとき CryptoAPI は、最大 5 つの URL の各証明書または証明書チェーンの各 10 の URL をのみ処理されます。 CryptoAPI は、各証明書チェーンの 100, 000 バイトに取得されるデータの量も制限されます。 これらの制限は、潜在的なサービス拒否 (DoS) 攻撃で AIA 参照の使用を削減が目的されます。

クロス証明書の発見と含めるが、クロス証明書の配布ポイント拡張子 (xDP) を通じてサポートされます。 使用されている、次の機能もサポートされています。
  • Delta CRL は完全にサポートします。
  • CRL に重要な"発行者"配布ポイント (IDP) 拡張機能はサポートされていません。

    メモ onlyContainsUserCerts onlyContainsCACerts の両方のビット、IDP に設定されている CRL は拒否されます。
  • 証明書の名前およびポリシーの制約がサポートされます。
  • CRL の拡張機能での深刻度フラグが優先します。
  • ベース 64 エンコードの CRL が正しく処理されます。
  • X.500 形式の CRL の名前を識別および AIA の参照はサポートします。
  • 証明を CryptoAPI が失効した書を選択、作業中の証明書ではなく、発行元証明機関 (CA) が 2 つの証明書の問題が解決します。
詳細については、クリック、次資料、記事の「サポート技術情報」(Microsoft Knowledge Base) を表示: して
841632セキュリティ更新プログラム MS04-011 をインストール後、"403.13 クライアント証明書が無効です" というエラー メッセージが表示される
841641MS04-011 のインストール後、WinInet プロキシの設定が原因で、IIS により "403.13 クライアント証明書が無効です" というエラー メッセージが表示される
841642IIS 5.0 を実行するコンピュータにセキュリティ更新プログラム MS04-011 をインストール後、クライアント証明書でエラーが発生する
835732Microsoft Windows のセキュリティ更新プログラム MS04-011: セキュリティ更新プログラム
329433チェーン内の証明機関がある 2 つの証明書失効した証明書が選択されます。

プロパティ

文書番号: 887195 - 最終更新日: 2014年2月4日 - リビジョン: 1.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbnosurvey kbarchive kbhowto kbinfo kbmt KB887195 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:887195
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com