Descrizione delle modifiche per il recupero dalla rete di oggetti PKI in Windows Vista Service Pack 1 e Windows Server 2008

Identificativo articolo: 946401 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
Importante In questo articolo contiene informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo. Assicurarsi di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Backup e ripristino del Registro di sistema in Windows
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Durante la convalida del percorso dei certificati, Windows Vista Service Pack 1 (SP1) e Windows Server 2008 è possibile recuperare gli oggetti come i certificati e gli elenchi di revoca dei certificati (CRL) dalla rete. Windows Vista SP1 e Windows Server 2008 supporta questa funzionalità di recupero della rete utilizzando il protocollo di FILE, il protocollo HTTP e il protocollo LDAP.

Per impostazione predefinita, il protocollo FILE per il recupero della rete di oggetti di infrastruttura a chiave pubblica (PKI) è disattivato per migliorare la sicurezza durante il processo di recupero della rete. Inoltre, il processo di recupero dalla rete che utilizza il protocollo LDAP o HTTP viene modificato in Windows Vista SP1 e Windows Server 2008. Per ulteriori informazioni su queste modifiche, vedere la sezione "Ulteriori informazioni".
Torna all'inizio | Invia suggerimenti

Informazioni

Avviso. Se si modifica il Registro di sistema in modo non corretto utilizzando l'Editor del Registro di sistema o un altro metodo, potrebbero verificarsi problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

Nota. Autorità di certificazione comunque possono utilizzare percorsi UNC Universal Naming Convention () per la pubblicazione di CRL a percorsi di rete. Ciò può risultare utile se i percorsi di rete condivisi come server directory virtuali web, che consentono di accedere al CRL su HTTP.

Modifiche nel processo di recupero dalla rete che utilizza il protocollo FILE

Per impostazione predefinita, il processo di recupero dalla rete che utilizza il protocollo FILE è disabilitato per le operazioni di certificato. Se si desidera abilitare questa funzionalità, attenersi alla seguente procedura:
  1. Fare clic Inizio, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
  2. Individuare la seguente sottochiave del Registro di sistema e quindi fare clic su:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Nota. Per le applicazioni a 32 bit su piattaforme a 64 bit, individuare la seguente sottochiave del Registro di sistema e quindi fare clic su:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Pulsante destro del mouse Configurazione, scegliere Nuovo, quindi fare clic su Valore DWORD.
  4. Tipo AllowFileUrlScheme, quindi premere INVIO.
  5. Pulsante destro del mouse AllowFileUrlScheme, quindi fare clic su Modificare.
  6. Nel Dati valore digitare 0x01, quindi fare clic su OK.
  7. Nel File menu, fare clic su Uscita.
Questa impostazione consente di ripristinare il computer al comportamento di Windows XP Service Pack 2 (SP2) di Windows Server 2003 SP1 e della versione finale di Windows Vista.

Modifiche nel processo di recupero dalla rete che utilizza il protocollo LDAP

Per impostazione predefinita, il client PKI in Windows Vista SP1 e Windows Server 2008 firma e crittografa tutto il traffico LDAP per gli oggetti PKI. Inoltre, se l'autenticazione è richiesta solo per il recupero dalla rete, viene eseguita l'autenticazione Kerberos. Per il test, è possibile disattivare la funzionalità di Windows Vista SP1 e di Windows Server 2008 che firma e crittografa LDAP traffico. A tale scopo, attenersi alla seguente procedura:
  1. Fare clic Inizio, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
  2. Individuare la seguente sottochiave del Registro di sistema e quindi fare clic su:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Nota. Per le applicazioni a 32 bit su piattaforme a 64 bit, individuare la seguente sottochiave del Registro di sistema e quindi fare clic su:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Pulsante destro del mouse Configurazione, scegliere Nuovo, quindi fare clic su Valore DWORD.
  4. Tipo DisableLDAPSignAndEncrypt, quindi premere INVIO.
  5. Pulsante destro del mouse DisableLDAPSignAndEncrypt, quindi fare clic su Modificare.
  6. Nel Dati valore digitare 0x01, quindi fare clic su OK.
  7. Nel File menu, fare clic su Uscita.
Dopo avere applicato questa impostazione, per l'autenticazione vengono utilizzate le credenziali NTLM o Kerberos. Inoltre, il flag di accesso e il flag di crittografia non viene impostato nelle richieste LDAP. Questa impostazione consente di ripristinare il computer per il comportamento di Windows XP SP2, Windows Server 2003 SP1 e della versione finale di Windows Vista.

Modifiche nel processo di recupero dalla rete che utilizza il protocollo HTTP

Nel client PKI in Windows Vista SP1 e Windows Server 2008, il processo di recupero dalla rete che utilizza il protocollo HTTP esegue l'autenticazione solo per i proxy configurati a livello locale. Se l'autenticazione viene eseguita dipende dal messaggio di errore restituito dal proxy. Se il proxy restituisce il seguente messaggio di errore, viene eseguita l'autenticazione:
HTTP 407: Autenticazione Proxy necessaria
Se il proxy restituisce il seguente messaggio di errore, l'autenticazione non viene eseguita:
HTTP 401: Accesso negato
Nota. Se è necessaria l'autenticazione proxy, verrà eseguite l'autenticazione Kerberos e l'autenticazione NTLM.

Se si desidera modificare questo comportamento predefinito, attenersi alla seguente procedura:
  1. Fare clic Inizio, fare clic su Eseguire, tipo Regedit, quindi fare clic su OK.
  2. Individuare la seguente sottochiave del Registro di sistema e quindi fare clic su:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    Nota. Per le applicazioni a 32 bit su piattaforme a 64 bit, individuare la seguente sottochiave del Registro di sistema e quindi fare clic su:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Pulsante destro del mouse Configurazione, scegliere Nuovo, quindi fare clic su Valore DWORD.
  4. Tipo EnableInetUnknownAuth, quindi premere INVIO.
  5. Pulsante destro del mouse EnableInetUnknownAuth, quindi fare clic su Modificare.
  6. Nel Dati valore digitare 0x01, quindi fare clic su OK.
  7. Nel File menu, fare clic su Uscita.
Dopo avere applicato questa impostazione, l'autenticazione viene eseguita quando il proxy restituisce un "messaggio di errore HTTP 401". Questa impostazione consente di ripristinare il computer per il comportamento di Windows XP SP2, Windows Server 2003 SP1 e della versione finale di Windows Vista.
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 946401 - Ultima modifica: venerdì 15 marzo 2013 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Chiavi: 
kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 946401
(http://support.microsoft.com/kb/946401/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio