Penjelasan perubahan pada pencarian jaringan objek PKI di dalam Windows Vista Paket Layanan 1 dan di Windows Server 2008

Selama validasi lintasan sertifikat, Windows Vista Paket Layanan 1 (SP1) dan Windows Server 2008 dapat menerima objek seperti sertifikat dan daftar pencabutan sertifikat (CRL) dari jaringan. Windows Vista SP1 dan Windows Server 2008 mendukung fungsionalitas pencarian jaringan ini dengan menggunakan protokol FILE, protokol HTTP, dan protokol LDAP.

Secara default, protokol FILE untuk pencarian jaringan dari objek infrastruktur tombol umum (PKI) dinonaktifkan untuk meningkatkan keamanan selama proses pencarian jaringan. Selain itu, proses pencarian jaringan yang menggunakan protokol LDAP atau protokol HTTP diubah pada Windows Vista SP1 dan pada Windows Server 2008. Untuk informasi lebih lanjut tentang perubahan ini, baca bagian ?Informasi Lebih Lanjut?.

Peringatan Masalah serius mungkin muncul saat Anda memodifikasi registri dengan tidak benar dengan menggunakan Peninjau Suntingan Registri atau metode lainnya. Masalah ini mungkin akan membuat Anda harus menginstal kembali sistem operasi. Microsoft tidak dapat menjamin bahwa permasalahan ini dapat dipecahkan. Jika Anda memodifikasi registri, resiko Anda tanggung sendiri.

Perubahan pada proses pencarian jaringan yang mengggunakan protokol FILE

Secara default, proses pencarian jaringan yang menggunakan protokol FILE dinonaktifkan untuk operasi sertifikat. Apabila Anda ingin mengaktifkan fitur ini, ikuti langkah berikut:

1. Klik Mulai menjalankan, klik Jalankan, ketik regedit, kemudian klik OK.
2. Cari subkunci registri berikut ini, kemudian klik:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
   Catatan Untuk aplikasi 32-bit pada platform 64-bit, cari subkunci registri berikut ini, kemudian klik:
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
3. Klik kanan Config, arahkan ke Baru, dan kemudian klik Nilai DWORD.
4. Ketik AllowFileUrlScheme, kemudian tekan ENTER.
5. Klik kanan AllowFileUrlScheme, dan kemudian klik Ubah.
6. Pada kotak Data Nilai, ketik 0x01, kemudian klik OK.
7. Pada menu Berkas, klik Keluar.

Pengaturan ini mengembalikan komputer ke perilaku Windows XP Paket Layanan 2 (SP2), Windows Server 2003 SP1, dan versi peluncuran Windows Vista.

Perubahan pada proses pencarian jaringan yang menggunakan protokol LDAP

Secara default, klien PKI pada Windows Vista SP1 dan pada Windows Server 2008 menandatangani dan mengenkripsi semua lalu lintas LDAP untuk objek PKI. Selain itu, apabila otentikasi hanya diperlukan untuk pencarian jaringan, otentikasi Kerberos akan dijalankan. Untuk pengujian, Anda mungkin ingin menonaktifkan fungsionalitas di dalam Windows Vista SP1 dan Windows Server 2008 yang menandatangani dan mengenkripsi lalu lintas LDAP. Untuk melakukannya, ikuti langkah berikut:

1. Klik Mulai menjalankan, klik Jalankan, ketik regedit, kemudian klik OK.
2. Cari subkunci registri berikut ini, kemudian klik:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
   Catatan Untuk aplikasi 32-bit pada platform 64-bit, cari subkunci registri berikut ini, kemudian klik:
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
3. Klik kanan Config, arahkan ke Baru, dan kemudian klik Nilai DWORD.
4. Ketik DisableLDAPSignAndEncrypt, kemudian tekan ENTER.
5. Klik kanan DisableLDAPSignAndEncrypt, kemudian klik Ubah.
6. Pada kotak Data Nilai, ketik 0x01, kemudian klik OK.
7. Pada menu Berkas, klik Keluar.

Setelah Anda menggunakan pengaturan ini, baik kredensial NTLM atau kredensial Kerberos digunakan otentikasi. Selain itu, bendera Tanda dan bendera Enkripsi tidak diatur dalam permintaan LDAP. Pengaturan ini mengembalikan komputer ke perilaku Windows XP SP2, Windows Server 2003 SP1, dan versi peluncuran dari Windows Vista.

Perubahan pada proses pencarian jaringan yang menggunakan protokol HTTP

Dalam klien PKI pada Windows Vista SP1 dan pada Windows Server 2008, proses pencarian jaringan yang menggunakan protokol HTTP menjalankan otentikasi hanya untuk proxy yang dikonfigurasi secara lokal. Apakah otentikasi yang dijalankan tergantung pada pesan galat yang dikembalikan dari proxy atau tidak. Apabila proxy mengembalikan pesan galat, maka otentikasi akan dijalankan:Apabila proxy mengembalikan pesan galat, maka otentikasi tidak akan dijalankan:Catatan Apabila otentikasi proxy diperlukan, baik otentikasi Kerberos dan otentikasi NTLM akan dijalankan.

Apabila Anda ingin mengubah perilaku default ini, ikuti langkah berikut:

1. Klik Mulai menjalankan, klik Jalankan, ketik regedit, kemudian klik OK.
2. Cari subkunci registri berikut ini, kemudian klik:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
   
   Catatan Untuk aplikasi 32-bit pada platform 64-bit, cari subkunci registri berikut ini, kemudian klik:
   HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
3. Klik kanan Config, arahkan ke Baru, dan kemudian klik Nilai DWORD.
4. Ketik EnableInetUnknownAuth, kemudian tekan ENTER.
5. Klik kanan EnableInetUnknownAuth, kemudian klik Ubah.
6. Pada kotak Data Nilai, ketik 0x01, kemudian klik OK.
7. Pada menu Berkas, klik Keluar.

Setelah Anda menggunakan pengaturan ini, sekarang otentikasi dijalankan ketika proxy mengembalikan pesan galat "HTTP 401". Pengaturan ini mengembalikan komputer ke perilaku Windows XP SP2, Windows Server 2003 SP1, dan versi peluncuran dari Windows Vista.