Windows Vista Service Pack 1:n ja Windows Server 2008:n PKI-objektien verkkonoutamisen muutosten kuvaus

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 946401 - Näytä tuotteet, joita tämä artikkeli koskee.
Tärkeää Tässä artikkelissa käsitellään rekisterin muokkaamista. Muista varmuuskopioida rekisteri ennen sen muokkaamista. Varmista, että osaat palauttaa rekisterin, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta, palauttamisesta ja muokkaamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen, muokkaaminen ja palauttaminen Windows XP:ssä ja Windows Server 2003:ssa
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Windows Vista Service Pack 1 (SP1) ja Windows Server 2008 saattavat varmennepolun tarkistamisen aikana noutaa verkosta objekteja, kuten varmenteita ja varmenteiden kumousluetteloita (CRL). Windows Vista SP1 ja Windows Server 2008 tukevat tätä verkkonoutamistoimintoa käyttämällä FILE-, HTTP- ja LDAP-protokollia.

Oletusarvon mukaan FILE-protokolla on poistettu käytöstä PKI-objektien verkkonoutamiselle, jotta suojaus on entistä parempi verkkonoutamisprosessin aikana. Lisäksi LDAP- tai HTTP-protokollaa käyttävää verkkonoutamisprosessia on muokattu Windows Vista SP1:ssä ja Windows Server 2008:ssa. Lisätietoja näistä muutoksista on Lisätietoja-osassa.

Enemmän tietoa

Varoitus Vakavia ongelmia saattaa ilmetä, jos muokkaat rekisteriä virheellisesti Rekisterieditorilla tai jollakin muulla tavalla. Näiden ongelmien ilmetessä saatat joutua asentamaan käyttöjärjestelmäsi uudelleen. Microsoft ei takaa, että nämä ongelmat voidaan ratkaista. Muokkaat rekisteriä omalla vastuulla.

FILE-protokollaa käyttävän verkkonoutamisprosessin muutokset

Oletusarvon mukaan FILE-protokollaa käyttävä verkkonoutamisprosessi on poistettu käytöstä varmennetoiminnoille. Jos haluat ottaa tämän ominaisuuden käyttöön, toimi seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
  2. Etsi seuraava rekisterin aliavain ja valitse se sitten:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Napsauta Config-kohtaa hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo.
  4. Kirjoita AllowFileUrlScheme ja paina sitten ENTER-näppäintä.
  5. Napsauta hiiren kakkospainikkeella AllowFileUrlScheme-arvoa ja valitse sitten Muokkaa.
  6. Kirjoita Arvon data -ruutuun 0x01 ja valitse sitten OK.
  7. Valitse Tiedosto-valikosta Lopeta.
Tämä asetus palauttaa tietokoneen toiminnan Windows XP Service Pack 2:n (SP2), Windows Server 2003 SP1:n ja Windows Vistan julkaisuversion mukaiseksi.

LDAP-protokollaa käyttävän verkkonoutamisprosessin muutokset

Oletusarvon mukaan Windows Vista SP1:n ja Windows Server 2008:n PKI-asiakas allekirjoittaa ja salaa kaiken PKI-objektien LDAP-tietoliikenteen. Jos verkkonoutamiselle vaaditaan todennus, tehdään lisäksi Kerberos-todennus. Testausta varten toiminto saattaa kannattaa poistaa käytöstä Windows Vista SP1:ssä ja Windows Server 2008:ssa, joka allekirjoittaa ja salaa LDAP-tietoliikenteen. Voit tehdä tämän seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
  2. Etsi seuraava rekisterin aliavain ja valitse se sitten:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Napsauta Config-kohtaa hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo.
  4. Kirjoita DisableLDAPSignAndEncrypt ja paina sitten ENTER-näppäintä.
  5. Napsauta hiiren kakkospainikkeella DisableLDAPSignAndEncrypt-arvoa ja valitse sitten Muokkaa.
  6. Kirjoita Arvon data -ruutuun 0x01 ja valitse sitten OK.
  7. Valitse Tiedosto-valikosta Lopeta.
Kun olet ottanut tämän asetuksen käyttöön, todennuksessa käytetään joko NTLM- tai Kerberos-tunnistetietoja. Lisäksi LDAP-pyynnöissä ei aseteta Sign- ja Encrypt-lippuja. Tämä asetus palauttaa tietokoneen toiminnan Windows XP SP2:n, Windows Server 2003 SP1:n ja Windows Vistan julkaisuversion mukaiseksi.

HTTP-protokollaa käyttävän verkkonoutamisprosessin muutokset

Windows Vista SP1:n ja Windows Server 2008:n PKI-asiakkaan HTTP-protokollaa käyttävä verkkonoutamisprosessi tekee todennuksen vain paikallisesti määritetyille välityspalvelimille. Se, tehdäänkö todennus, riippuu välityspalvelimen palauttamasta virhesanomasta. Jos välityspalvelin palauttaa seuraavan virhesanoman, todennus tehdään:
HTTP 407: Vaaditaan välityspalvelimen todennus
Jos välityspalvelin palauttaa seuraavan virhesanoman, todennusta ei tehdä:
HTTP 401: Käyttö estetty
Huomautus Jos välityspalvelintodennus edellytetään, tehdään sekä Kerberos- että NTLM-todennus.

Jos haluat muuttaa tätä oletustoimintaa, toimi seuraavasti:
  1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
  2. Etsi seuraava rekisterin aliavain ja valitse se sitten:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Napsauta Config-kohtaa hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo.
  4. Kirjoita EnableInetUnknownAuth ja paina sitten ENTER-näppäintä.
  5. Napsauta hiiren kakkospainikkeella EnableInetUnknownAuth-arvoa ja valitse sitten Muokkaa.
  6. Kirjoita Arvon data -ruutuun 0x01 ja valitse sitten OK.
  7. Valitse Tiedosto-valikosta Lopeta.
Kun olet ottanut tämän asetuksen käyttöön, todennus tehdään, kun välityspalvelin palauttaa HTTP 401 -virhesanoman. Tämä asetus palauttaa tietokoneen toiminnan Windows XP SP2:n, Windows Server 2003 SP1:n ja Windows Vistan julkaisuversion mukaiseksi.

Ominaisuudet

Artikkelin tunnus: 946401 - Viimeisin tarkistus: 16. huhtikuuta 2008 - Versio: 2.1
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Hakusanat: 
kbexpertiseinter kbhowto kbinfo KB946401

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com