Description des modifications à la récupération du réseau d'objets d'infrastructure à clé publique dans Windows Vista Service Pack 1 et Windows Server 2008

Traductions disponibles Traductions disponibles
Numéro d'article: 946401 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la façon de modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que vous savez comment restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Lors de la validation du chemin d'accès de certificat, Windows Vista Service Pack 1 (SP1) et Windows Server 2008 peuvent extraire des objets tels que des certificats et listes de révocation de certificats (CRL) à partir du réseau. Windows Vista SP1 et Windows Server 2008 prend en charge cette fonctionnalité de récupération du réseau en utilisant le protocole de fichier, le protocole HTTP et le protocole LDAP.

Par défaut, le protocole de fichier pour la récupération du réseau d'objets d'infrastructure à clé publique (PKI) est désactivé pour améliorer la sécurité au cours du processus de récupération du réseau. En outre, le processus d'extraction réseau qui utilise le protocole LDAP ou le protocole HTTP est modifié dans Windows Vista SP1 et dans Windows Server 2008. Pour plus d'informations sur ces modifications, consultez la section « Plus informations ».

Plus d'informations

Avertissement De graves problèmes peuvent survenir si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter la réinstallation du système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Modifiez le Registre à vos propres risques.

Remarque : Autorités de certification peuvent toujours utiliser des chemins d'accès UNC Universal Naming Convention () pour publier les CRL vers des emplacements réseau. Cela peut être utile si les emplacements réseau sont partagés en tant que serveur répertoires virtuels web, qui permettent d'accéder à des listes de révocation sur HTTP.

Modifications dans le processus d'extraction réseau qui utilise le protocole de fichier

Par défaut, le processus d'extraction réseau qui utilise le protocole de fichier est désactivé pour les opérations de certificat. Si vous souhaitez activer cette fonctionnalité, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Remarque Pour les applications 32 bits sur les plateformes 64 bits, recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Avec le bouton droit Config, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Type AllowFileUrlScheme, puis appuyez sur ENTRÉE.
  5. Avec le bouton droit AllowFileUrlScheme, puis cliquez sur Modifier.
  6. Dans le Données de la valeur zone, tapez 0 x 01, puis cliquez sur OK.
  7. Sur la Fichier menu, cliquez sur Quitter.
Ce paramètre rétablit le comportement de Windows XP Service Pack 2 (SP2), de l'ordinateur de Windows Server 2003 SP1 et de la version finale de Windows Vista.

Modifications dans le processus d'extraction réseau qui utilise le protocole LDAP

Par défaut, le client PKI dans Windows Vista SP1 et dans Windows Server 2008 signe et chiffre tout le trafic LDAP pour les objets d'infrastructure à clé publique. En outre, si l'authentification est requise uniquement pour la récupération du réseau, l'authentification Kerberos est effectuée. Pour le test, vous souhaiterez désactiver la fonctionnalité dans Windows Vista SP1 et dans Windows Server 2008 qui signe et chiffre LDAP le trafic. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Remarque Pour les applications 32 bits sur les plateformes 64 bits, recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Avec le bouton droit Config, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Type DisableLDAPSignAndEncrypt, puis appuyez sur ENTRÉE.
  5. Avec le bouton droit DisableLDAPSignAndEncrypt, puis cliquez sur Modifier.
  6. Dans le Données de la valeur zone, tapez 0 x 01, puis cliquez sur OK.
  7. Sur la Fichier menu, cliquez sur Quitter.
Après avoir appliqué ce paramètre, les informations d'identification NTLM ou Kerberos sont utilisés pour l'authentification. En outre, les indicateurs de signe et le cryptage ne sont pas définis dans les requêtes LDAP. Ce paramètre rétablit le comportement de Windows XP SP2, Windows Server 2003 SP1 et la version finale de Windows Vista de l'ordinateur.

Modifications dans le processus d'extraction réseau qui utilise le protocole HTTP

Dans le client de l'infrastructure à clé publique dans Windows Vista SP1 et Windows Server 2008, le processus d'extraction réseau qui utilise le protocole HTTP effectue l'authentification uniquement pour les proxys sont configurés localement. Si l'authentification est effectuée dépend le message d'erreur retourné par le serveur proxy. Si le serveur proxy retourne le message d'erreur suivant, l'authentification est effectuée :
HTTP 407 : Authentification de Proxy requise
Si le serveur proxy retourne le message d'erreur suivant, l'authentification n'est effectuée :
HTTP 401 : Accès refusé
Remarque Si l'authentification du proxy est requise, l'authentification Kerberos et l'authentification NTLM seront effectuées.

Si vous souhaitez modifier ce comportement par défaut, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    Remarque Pour les applications 32 bits sur les plateformes 64 bits, recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Avec le bouton droit Config, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Type EnableInetUnknownAuth, puis appuyez sur ENTRÉE.
  5. Avec le bouton droit EnableInetUnknownAuth, puis cliquez sur Modifier.
  6. Dans le Données de la valeur zone, tapez 0 x 01, puis cliquez sur OK.
  7. Sur la Fichier menu, cliquez sur Quitter.
Après avoir appliqué ce paramètre, l'authentification est désormais effectuée lorsque le serveur proxy retourne un "message d'erreur HTTP 401 ». Ce paramètre rétablit le comportement de Windows XP SP2, Windows Server 2003 SP1 et la version finale de Windows Vista de l'ordinateur.

Propriétés

Numéro d'article: 946401 - Dernière mise à jour: vendredi 15 mars 2013 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Mots-clés : 
kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 946401
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com