Windows Vista Service Pack 1:n ja Windows Server 2008:n PKI-objektien verkkonoutamisen muutosten kuvaus

Artikkelin tunnus: 946401 - N�yt� tuotteet, joita t�m� artikkeli koskee.

T�rke�� T�ss� artikkelissa k�sitell��n rekisterin muokkaamista. Muista varmuuskopioida rekisteri ennen sen muokkaamista. Varmista, ett� osaat palauttaa rekisterin, jos ongelmia ilmenee. Lis�tietoja rekisterin varmuuskopioimisesta, palauttamisesta ja muokkaamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin p��set lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

322756

(http://support.microsoft.com/kb/322756/ )

Rekisterin varmuuskopioiminen, muokkaaminen ja palauttaminen Windows XP:ss� ja Windows Server 2003:ssa

Laajenna kaikki | Kutista kaikki

T�ll� sivulla

Yhteenveto

Windows Vista Service Pack 1 (SP1) ja Windows Server 2008 saattavat varmennepolun tarkistamisen aikana noutaa verkosta objekteja, kuten varmenteita ja varmenteiden kumousluetteloita (CRL). Windows Vista SP1 ja Windows Server 2008 tukevat t�t� verkkonoutamistoimintoa k�ytt�m�ll� FILE-, HTTP- ja LDAP-protokollia.

Oletusarvon mukaan FILE-protokolla on poistettu k�yt�st� PKI-objektien verkkonoutamiselle, jotta suojaus on entist� parempi verkkonoutamisprosessin aikana. Lis�ksi LDAP- tai HTTP-protokollaa k�ytt�v�� verkkonoutamisprosessia on muokattu Windows Vista SP1:ss� ja Windows Server 2008:ssa. Lis�tietoja n�ist� muutoksista on Lis�tietoja-osassa.

Palaa alkuun | Anna palautetta

Enemm�n tietoa

Varoitus Vakavia ongelmia saattaa ilmet�, jos muokkaat rekisteri� virheellisesti Rekisterieditorilla tai jollakin muulla tavalla. N�iden ongelmien ilmetess� saatat joutua asentamaan k�ytt�j�rjestelm�si uudelleen. Microsoft ei takaa, ett� n�m� ongelmat voidaan ratkaista. Muokkaat rekisteri� omalla vastuulla.

FILE-protokollaa k�ytt�v�n verkkonoutamisprosessin muutokset

Oletusarvon mukaan FILE-protokollaa k�ytt�v� verkkonoutamisprosessi on poistettu k�yt�st� varmennetoiminnoille. Jos haluat ottaa t�m�n ominaisuuden k�ytt��n, toimi seuraavasti:

Napsauta K�ynnist�-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
Etsi seuraava rekisterin aliavain ja valitse se sitten:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Napsauta Config-kohtaa hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo.
Kirjoita AllowFileUrlScheme ja paina sitten ENTER-n�pp�int�.
Napsauta hiiren kakkospainikkeella AllowFileUrlScheme-arvoa ja valitse sitten Muokkaa.
Kirjoita Arvon data -ruutuun 0x01 ja valitse sitten OK.
Valitse Tiedosto-valikosta Lopeta.

T�m� asetus palauttaa tietokoneen toiminnan Windows XP Service Pack 2:n (SP2), Windows Server 2003 SP1:n ja Windows Vistan julkaisuversion mukaiseksi.

LDAP-protokollaa k�ytt�v�n verkkonoutamisprosessin muutokset

Oletusarvon mukaan Windows Vista SP1:n ja Windows Server 2008:n PKI-asiakas allekirjoittaa ja salaa kaiken PKI-objektien LDAP-tietoliikenteen. Jos verkkonoutamiselle vaaditaan todennus, tehd��n lis�ksi Kerberos-todennus. Testausta varten toiminto saattaa kannattaa poistaa k�yt�st� Windows Vista SP1:ss� ja Windows Server 2008:ssa, joka allekirjoittaa ja salaa LDAP-tietoliikenteen. Voit tehd� t�m�n seuraavasti:

Napsauta K�ynnist�-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
Etsi seuraava rekisterin aliavain ja valitse se sitten:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Napsauta Config-kohtaa hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo.
Kirjoita DisableLDAPSignAndEncrypt ja paina sitten ENTER-n�pp�int�.
Napsauta hiiren kakkospainikkeella DisableLDAPSignAndEncrypt-arvoa ja valitse sitten Muokkaa.
Kirjoita Arvon data -ruutuun 0x01 ja valitse sitten OK.
Valitse Tiedosto-valikosta Lopeta.

Kun olet ottanut t�m�n asetuksen k�ytt��n, todennuksessa k�ytet��n joko NTLM- tai Kerberos-tunnistetietoja. Lis�ksi LDAP-pyynn�iss� ei aseteta Sign- ja Encrypt-lippuja. T�m� asetus palauttaa tietokoneen toiminnan Windows XP SP2:n, Windows Server 2003 SP1:n ja Windows Vistan julkaisuversion mukaiseksi.

HTTP-protokollaa k�ytt�v�n verkkonoutamisprosessin muutokset

Windows Vista SP1:n ja Windows Server 2008:n PKI-asiakkaan HTTP-protokollaa k�ytt�v� verkkonoutamisprosessi tekee todennuksen vain paikallisesti m��ritetyille v�lityspalvelimille. Se, tehd��nk� todennus, riippuu v�lityspalvelimen palauttamasta virhesanomasta. Jos v�lityspalvelin palauttaa seuraavan virhesanoman, todennus tehd��n:

HTTP 407: Vaaditaan v�lityspalvelimen todennus

Jos v�lityspalvelin palauttaa seuraavan virhesanoman, todennusta ei tehd�:

HTTP 401: K�ytt� estetty

Huomautus Jos v�lityspalvelintodennus edellytet��n, tehd��n sek� Kerberos- ett� NTLM-todennus.

Jos haluat muuttaa t�t� oletustoimintaa, toimi seuraavasti:

Napsauta K�ynnist�-painiketta, valitse Suorita, kirjoita regedit ja valitse sitten OK.
Etsi seuraava rekisterin aliavain ja valitse se sitten:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Napsauta Config-kohtaa hiiren kakkospainikkeella, valitse Uusi ja valitse sitten DWORD-arvo.
Kirjoita EnableInetUnknownAuth ja paina sitten ENTER-n�pp�int�.
Napsauta hiiren kakkospainikkeella EnableInetUnknownAuth-arvoa ja valitse sitten Muokkaa.
Kirjoita Arvon data -ruutuun 0x01 ja valitse sitten OK.
Valitse Tiedosto-valikosta Lopeta.

Kun olet ottanut t�m�n asetuksen k�ytt��n, todennus tehd��n, kun v�lityspalvelin palauttaa HTTP 401 -virhesanoman. T�m� asetus palauttaa tietokoneen toiminnan Windows XP SP2:n, Windows Server 2003 SP1:n ja Windows Vistan julkaisuversion mukaiseksi.

Palaa alkuun | Anna palautetta