A PKI-objektumok hálózaton keresztüli lekérése Windows Vista SP1 és Windows Server 2008 rendszerben

A cikk fordítása A cikk fordítása
Cikk azonosítója: 946401 - A cikkben érintett termékek listájának megtekintése.
Fontos: A cikk a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosításával is foglalkozik. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani azt. A beállításjegyzék biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A tanúsítványok elérési útjának érvényesítése során Windows Vista Service Pack 1 (SP1) és Windows Server 2008 rendszerben előfordulhat, hogy az objektumok hálózatról való lekérése tanúsítványok és CRL listák (visszavont tanúsítványok listája) formájában történik. A Windows Vista SP1 és a Windows Server 2008 ezt az új, hálózaton keresztüli lekérést biztosító funkciót a FILE, a HTTP és az LDAP protokoll segítségével támogatja.

A nyilvános kulcsok infrastruktúrája (PKI) objektumainak hálózaton keresztüli lekérésére vonatkozó FILE protokoll alapértelmezés szerint le van tiltva a hálózaton keresztüli lekérési folyamat fokozott biztonsága érdekében. Az LDAP vagy a HTTP protokollt használó, hálózaton keresztüli lekérési folyamat továbbá módosult Windows Vista SP1 és Windows Server 2008 rendszerben. E változásokról bővebben a jelen cikk további információkat tartalmazó részében olvashat.

További információ

Figyelmeztetés: A beállításszerkesztővel (Rendszerleíróadatbázis-szerkesztő) vagy más eszközzel helytelenül módosított beállításjegyzék komoly problémákat okozhat, amelyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a beállításjegyzéket csak saját felelősségére módosíthatja.

A FILE protokollt használó, hálózaton keresztüli lekérési folyamat változásai

A FILE protokollt használó, hálózaton keresztüli lekérési folyamat alapértelmezés szerint le van tiltva a tanúsítványokkal kapcsolatos műveletek esetében. Ha engedélyezni szeretné ezt a szolgáltatást, kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Kattintson a jobb gombbal a Config elemre, mutasson az Új pontra, és kattintson a Duplaszó parancsra.
  4. Írja be az AllowFileUrlScheme értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal az AllowFileUrlScheme elemre, és válassza a Módosítás parancsot.
  6. Írja be az Érték mezőbe a 0x01 értéket, majd kattintson az OK gombra.
  7. Kattintson a Fájl menü Kilépés parancsára.
Ez a beállítás visszaállítja a számítógépet a Windows XP SP2 és a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiadásának megfelelő működésre.

Az LDAP protokollt használó, hálózati lekérési folyamat változásai

Windows Vista SP1 és Windows Server 2008 rendszerben a PKI-ügyfél alapértelmezés szerint aláírja és titkosítja a PKI-objektumok minden LDAP-alapú adatforgalmát. Ha továbbá a hitelesítésre csak a hálózati lekéréshez van szükség, Kerberos-hitelesítés történik. Tesztelési célból érdemes lehet Windows Vista SP1 és Windows Server 2008 rendszerben az LDAP-alapú adatforgalmat aláíró és titkosító funkciót letiltani. Ehhez hajtsa végre az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Kattintson a jobb gombbal a Config elemre, mutasson az Új pontra, és kattintson a Duplaszó parancsra.
  4. Írja be a DisableLDAPSignAndEncrypt értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal a DisableLDAPSignAndEncrypt elemre, és válassza a Módosítás parancsot.
  6. Írja be az Érték mezőbe a 0x01 értéket, majd kattintson az OK gombra.
  7. Kattintson a Fájl menü Kilépés parancsára.
A beállítás alkalmazása után a hitelesítéshez NTLM- vagy Kerberos-hitelesítő adatok használatosak. A Sign és az Encrypt jelző továbbá már nincs beállítva az LDAP-kérésekben. Ez a beállítás visszaállítja a számítógépet a Windows XP SP2 és a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiadásának megfelelő működésre.

A HTTP protokollt használó, hálózaton keresztüli lekérési folyamat változásai

Windows Vista SP1 és Windows Server 2008 rendszerbeli PKI-ügyfél esetén a HTTP protokollt használó, hálózaton keresztüli lekérési folyamat csak a helyileg konfigurált proxyk esetén végez hitelesítést. Az, hogy megtörténik-e a hitelesítés, a proxy által visszaadott hibaüzenettől függ. Ha a proxy a következőhöz hasonló hibaüzenetet adja vissza, a hitelesítés megtörténik:
HTTP 407: Proxyhitelesítés szükséges.
Ha a proxy a következőhöz hasonló hibaüzenetet adja vissza, a hitelesítés nem történik meg:
HTTP 401: Hozzáférés megtagadva.
Megjegyzés: Ha proxyhitelesítésre van szükség, akkor a rendszer mind a Kerberos-, mind az NTLM-hitelesítést végrehajtja.

Ha módosítani szeretné ezt az alapértelmezett viselkedést, kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Kattintson a jobb gombbal a Config elemre, mutasson az Új pontra, és kattintson a Duplaszó parancsra.
  4. Írja be az EnableInetUnknownAuth értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal az EnableInetUnknownAuth elemre, és válassza a Módosítás parancsot.
  6. Írja be az Érték mezőbe a 0x01 értéket, majd kattintson az OK gombra.
  7. Kattintson a Fájl menü Kilépés parancsára.
A beállítás alkalmazását követően a hitelesítés akkor is megtörténik, ha a proxy „HTTP 401” kezdetű hibaüzenetet ad vissza. Ez a beállítás visszaállítja a számítógépet a Windows XP SP2 és a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiadásának megfelelő működésre.

Tulajdonságok

Cikk azonosítója: 946401 - Utolsó ellenőrzés: 2008. április 16. - Verziószám: 2.1
A cikkben található információ a következő(k)re vonatkozik:
  • Service Pack 1 szervizcsomag a Windows Vista rendszerhez
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Kulcsszavak: 
kbhowto kbinfo kbexpertiseinter KB946401
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com