如何取得根憑證更新的 Windows

文章翻譯 文章翻譯
文章編號: 931125 - 檢視此文章適用的產品。
注意事項
最新的 KB 931125 套件上 2014 年 3 月 11,Windows Update 及 WSUS 公佈是只適用於用戶端 Sku。不過,封裝也被提供伺服器 Sku。因為有些客戶報告問題,它們在伺服器上安裝套件之後,伺服器 Sku 的 KB 931125 更新不會從 Windows Update 及 WSUS 過期。我們建議您同步您的 WSUS 伺服器,並核准到期。

如果您已經在伺服器上套用此更新程式,並會遇到問題,您應該使用修正它方案以下文 「 Microsoft 知識庫 」 中的文件中:
2801679 在您安裝 KB 931125 之後的 SSL/TLS 通訊問題
全部展開 | 全部摺疊

在此頁中

簡介

本文包含的協力廠商憑證授權單位 (Ca),所信任的 Microsoft 和其根憑證透過 Microsoft 根憑證計散佈清單的下載連結。本文包含不同類型的 Windows 更新的根憑證的相關資訊。

解決方法

根更新套件會更新使用者的電腦上的根憑證的清單,為 Microsoft 所接受的 Windows 根憑證程式一部分的清單。檔案會定期更新至新增或移除通訊群組中的根憑證或 Ca 的程式。您可以透過下列方法取得根更新套件:

Microsoft 下載中心 」 (Windows XP 只)

此更新程式是可以從 「 Microsoft 下載中心 」 下載:

根憑證的更新,windows XP [年 3 月 2014] (KB931125)

摺疊此圖像展開此圖像
重要
重要:系統可能提示您通過正版 Microsoft 軟體驗證程序,以下載套件。

Microsoft Update 類別目錄 (所有的 Windows 版本)

根更新套件可透過Microsoft Update 類別目錄.使用者可以搜尋,並個別下載的更新套件。您可以搜尋 「 根憑證更新 」 或 「 Microsoft 知識庫 」 文件 」 KB931125 」,並再下載最新的根憑證更新套件。

http://catalog.update.microsoft.com/v7/site/Search.aspx?q=root%20certificate%20update

根更新套件適用於下列支援的 x86 和 x64 架構中的 Windows 版本:
摺疊此表格展開此表格
架構標題
x86根憑證的更新,windows XP [年 3 月 2014] (KB931125)
x64根憑證的更新,windows XP x 64 版本 [3 月 2014] (KB931125)
x86Windows Vista [年 3 月 2014] (KB931125) 的根憑證的更新
x64根憑證的更新的 Windows Vista 的 x64 為主的系統 [年 3 月 2014] (KB931125)
x86Windows 7 [年 3 月 2014] (KB931125) 的根憑證的更新
x64根憑證的更新,Windows 7 的 x64 為主的系統 [年 3 月 2014] (KB931125)
x86根憑證的更新,Windows 8 [年 3 月 2014] (KB931125)
x64根憑證的更新,Windows 8 x64 型系統 [年 3 月 2014] (KB931125)
x86根憑證的更新,Windows 8.1 [年 3 月 2014] (KB931125)
x64根憑證的更新,Windows 8.1 x64 型系統 [年 3 月 2014] (KB931125)
摺疊此圖像展開此圖像
附註
附註:根更新套件是累計的。因此,您只需要安裝最新的套件,在程式中接收所有的根憑證。

如需有關如何識別 32 位元和 64 位元作業系統的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
827218 如何判斷您的電腦執行的 32 位元版本或 64 位元版本的 Windows 作業系統

Windows 軟體更新服務 (WSUS)

根更新套件也是可供下載從 Windows 伺服器更新服務 (WSUS)。WSUS 可以讓資訊技術管理員正在執行 Windows 作業系統的電腦上部署最新的 Microsoft 產品更新。藉由使用 WSUS,系統管理員可以完全管理透過 Microsoft 更新釋放的他們的網路中電腦的更新內容散發。

如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
919772 如何啟用 Microsoft Windows 伺服器更新服務 (WSUS) 伺服器,以發佈 Windows 更新

其他相關資訊

根憑證的 Windows 程式更新資訊

根 Ca Microsoft 維護分散式程式網站上的 Windows 根憑證程式的根憑證的清單。
若要進一步瞭解 CAs 是成員的程式,請移至下列網站:
http://go.microsoft.com/fwlink/?LinkID=269988

根憑證計需求的一份目前一般和技術的所有需求 Windows 根憑證計,移至下列 Microsoft TechNet 網站:
http://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx

延伸的驗證憑證 (EV SSL) -如需有關在 Internet Explorer 7 和更新版本,請移至下列網站的 EV 憑證的支援:
http://www.microsoft.com/windows/products/winfamily/ie/ev/default.mspx

Windows 會如何更新根憑證

Microsoft 已引入新的根目錄更新機制,在不同版本的 Microsoft Windows。於散發較少的根憑證,但對散發盡可能結果更完美的根憑證是必要的並透過 Windows 根憑證計發佈時,已逐漸著重於這些機制。若要瞭解根目錄更新機制的差異,是最方便的方式分割成兩個類別的 Windows 版本:
  • 支援自動根目錄的 OS 版本更新的個別的根憑證
  • 依賴更早版本,選擇性根目錄更新套件 (包含所有目前分散式的根憑證的封裝) 的 OS 版本
在 Windows 用戶端 Sku,Windows Vista 及之後的版本會完全支援自動根目錄更新機制。Windows XP 只部分支援自動根目錄更新機制。(請參閱 「 Windows XP 」 一節,如需詳細資訊)。我們建議您的 Windows 版本早於 Windows Vista 下載選擇性根目錄更新套件,其中包含所有目前分散式的根憑證。
Windows Vista 和 Windows 7
在 Windows Vista 以及更新版本中的根憑證是透過自動根目錄更新機制發佈。也就被分散到根憑證。當使用者進入安全網站 (藉由使用 HTTPS SSL),讀取安全電子郵件訊息 (S/MIME),或下載 ActiveX 控制項也就是簽章 (簽章的程式碼),然後遇到新的根憑證時,Windows 憑證鏈結驗證軟體會檢查 Microsoft 更新的根憑證。如果軟體找到根憑證,該軟體下載目前的憑證信任清單 (CTL)。CTL 包含在程式中的所有受信任的根憑證的清單,並驗證的根憑證會列在那裡。然後,系統下載指定的根憑證,並會將憑證安裝在 Windows 的信任根憑證授權單位存放區中。如果找不到根憑證,則不會完成憑證鏈結,並在系統傳回錯誤。

給使用者,成功的根目錄更新都會非常順暢。使用者不會看不到任何安全性對話方塊或警告。下載就會自動發生。此外,Windows Vista 以及更新版本中,用戶端 Sku 支援每週預先讀取從 Microsoft 的更新,以檢查有更新的根憑證內容 (例如,延伸的驗證 (EV)、 程式碼簽章,或伺服器驗證內容 [也就是憑證內容加入至根憑證])。

有關 Windows 更新根憑證在 Windows Vista 以及更新版本中的方式的詳細技術資訊,請移至下列網站:
http://technet.microsoft.com/en-us/library/cc749331 (WS.10).aspx
Windows XP
Windows XP 不完全支援自動根目錄更新機制。已經存在於使用者的系統上的根憑證時,它將不會更新即使根憑證可用在 Microsoft 更新的複本已變更。Windows XP 也不支援由 Microsoft Update 功能每週預先提取憑證內容,而在 Windows XP 上安裝新的根憑證內容的唯一方法是安裝根目錄更新套件。

我們建議您正在執行 Windows XP 的使用者下載並安裝更新的根憑證的根更新套件。根憑證是透過 Microsoft 更新的 Windows xp 傳遞為選擇性的根目錄更新套件 – 包含發佈 Windows 根憑證計的每個根憑證的可執行檔。Windows XP 使用者可以選擇每次它會更新並顯示由 Microsoft 更新下載套件。或者,他們可以選擇自動下載根目錄更新套件時進行更新。選擇性的根目錄更新套件會更新大約三或四個時間每年或每季。

如需如何 Windows 更新根憑證在 Windows XP SP2 和 SP3 的詳細技術資訊,請移至下列網站:
http://technet.microsoft.com/en-us/library/bb457160.aspx
Windows Server 2003,Windows Server 2008 和 Windows Server 2008 R2
在 Windows Server 2008 和更新版本,而不是在 Windows Server 2003,則會啟用自動根目錄更新機制。Windows Server 2003 只部分支援自動根目錄更新機制。(這是在 Windows XP 上支援相同)。因為根更新套件適用於 Windows XP 用戶端 Sku 只,它並不適用於 Windows 伺服器的 Sku。不過,根目錄更新套件可以下載和安裝在 Windows 伺服器 Sku,遵守下列限制。

如果您在 Windows 伺服器 Sku 上安裝根更新套件,您可能會超過多少 Schannel 可以處理 TLS 或 SSL 信號交換,用戶端報告的根目錄清單時,為分散式根目錄更新套件中的根憑證數目超過該限制的根憑證的限制。當您更新的根憑證時,信任的 Ca 清單就會大幅增長,而且可能會變得太長。清單會再被截斷,而且可能會造成問題的授權。這種行為也可能造成 Schannel 事件識別碼 36885。在 Windows Server 2003,發照者清單不能大於 0x3000。如需有關這個問題的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

933430 如果您需要在網站上的用戶端憑證,或如果您在 Windows Server 2003 中使用 IAS,用戶端無法建立連線。

附註只有在您必須在 Windows 伺服器上啟用 SSL 用戶端驗證,就會套用這些限制。
根更新套件安裝在中斷連線的環境
我們建議 (例如,自動根目錄更新機制不因為沒有安裝這些更新的連線能力運作) 連線之環境中執行 Windows 用戶端或伺服器 Sku 的系統應該安裝根目錄更新套件。根更新套件將安裝在 Windows Vista 和 Windows 7 中,在中斷連線的環境中解決這個問題。不過,我們不建議也有安裝這些更新的網路連線的系統安裝根目錄更新套件,因為自動根目錄更新機制所使用的。

您可以使用群組原則將根憑證分送到中斷連線的環境中的伺服器群組。有關如何使用群組原則安裝根憑證是可在下列網站:

Windows Server 2003: http://technet.microsoft.com/en-us/library/cc738131 (WS.10).aspx

Windows Server 2008: http://technet.microsoft.com/en-us/library/cc772491.aspx

Windows Vista Crypt32.dll 資源檔案中含有一組的受信任的協力廠商根憑證,如此這些憑證可以當做後援無法連線到 Windows Update 時。觸發自動根目錄更新時,它會嘗試從網路下載的受信任的協力廠商根憑證。在離線的環境中,網路抓取失敗,並 CAPI 檢查根憑證在 Crypt32.dll 中的資源。如果根是存在,則會使用,並安裝在根存放區。Windows 7 有類似的行為。

如果停用自動根目錄更新時,就會擷取根目錄沒有嘗試進行。因此,不會安裝根目錄。請注意在 Crypt32.dll 中的資源包括只有那些憑證中原有的根程式 OS 發行之前,一次。稍後再加入任何根憑證中不存在則該資源,而且只能透過根目錄更新套件這類憑證。

本文中所討論的協力廠商產品並非由 Microsoft 製造。Microsoft 不以擔保、 默示或其他方式保證這些產品的可靠性和效能。

屬性

文章編號: 931125 - 上次校閱: 2014年3月11日 - 版次: 19.0
這篇文章中的資訊適用於:
  • Windows Vista 商用進階 64 位元版
  • Windows Vista 家用入門 64 位元版
  • Windows Vista 家用進階 64 位元版
  • Windows Vista 旗艦 64 位元版
  • Windows Vista 商用入門版
  • Windows Vista 商用入門 64 位元版
  • Windows Vista 商用進階版
  • Windows Vista 家用入門版
  • Windows Vista 家用進階版
  • Windows Vista Starter
  • Windows Vista 旗艦版
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Web Edition
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows HPC Server 2008 R2
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
  • Windows 8
  • Windows 8 Pro
  • Windows 8 Enterprise
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
關鍵字:?
kbhowto kbexpertiseinter kbinfo kbmt KB931125 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:931125
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com