Descrição das alterações para recuperação de rede de objetos PKI no Windows Vista Service Pack 1 e no Windows Server 2008

ID do artigo: 946401 - Exibir os produtos aos quais esse artigo se aplica.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Importante Este artigo contém informações sobre como modificar o registro. Certifique-se de que você faça backup do registro antes de modificá-lo. Certifique-se de que você sabe como restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756
(http://support.microsoft.com/kb/322756/ )
Como fazer backup e restaurar o registro no Windows
Expandir tudo | Recolher tudo

Nesta página

Sumário

Durante a validação de caminho do certificado, o Windows Vista Service Pack 1 (SP1) e Windows Server 2008 podem recuperar objetos, como certificados e listas de certificados revogados (CRLs) da rede. Windows Vista SP1 e Windows Server 2008 suportam esta funcionalidade de recuperação de rede usando o protocolo de arquivo, o protocolo HTTP e o protocolo LDAP.

Por padrão, o protocolo de arquivo para recuperação de rede de objetos public key infrastructure (PKI) está desabilitado para melhorar a segurança durante o processo de recuperação de rede. Além disso, o processo de recuperação de rede que usa o protocolo LDAP ou o protocolo HTTP é modificado no Windows Vista SP1 e no Windows Server 2008. Para obter mais informações sobre essas alterações, consulte a seção "Mais informações".
Voltar para o início | Submeter comentários

Mais Informações

Aviso Podem ocorrer problemas graves se você modificar o registro incorretamente usando o Editor do Registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas podem ser resolvidos. Modifique o registro por responsabilidade própria.

Observação Autoridades de certificação ainda podem usar caminhos de convenção de nomenclatura Universal (UNC, Universal Naming Convention) para publicar CRLs para locais de rede. Isso pode ser útil se os locais de rede são compartilhados como servidor diretórios virtuais da web, que fornecem acesso a listas de certificados revogados por HTTP.

Alterações no processo de recuperação de rede que usa o protocolo de arquivo

Por padrão, o processo de recuperação de rede que usa o protocolo de arquivo está desativado para operações de certificado. Se você deseja habilitar esse recurso, execute estas etapas:
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize a seguinte subchave do registro e, em seguida, clique nela:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Observação:Para aplicativos de 32 bits em plataformas de 64 bits, localize a seguinte subchave do registro e, em seguida, clique nela:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Clicar com o botão direito do rato Config, aponte para Novoe, em seguida, clique em Valor DWORD.
  4. Digite AllowFileUrlScheme, e então pressione ENTER.
  5. Clicar com o botão direito do rato AllowFileUrlSchemee, em seguida, clique em Modificar.
  6. No Dados do valor caixa, digite 0x01e, em seguida, clique em OK.
  7. Sobre o Arquivo menu, clique em Sair.
Ela volta do computador para o comportamento do Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 e a versão do Windows Vista.

Alterações no processo de recuperação de rede que usa o protocolo LDAP

Por padrão, o cliente PKI no Windows Vista SP1 e no Windows Server 2008 assina e criptografa todo o tráfego LDAP para objetos PKI. Além disso, se a autenticação for necessária apenas para recuperação de rede, a autenticação Kerberos é executada. Para teste, você poderá desabilitar a funcionalidade no Windows Vista SP1 e no Windows Server 2008 que autentica e criptografa LDAP de tráfego. Para fazer isso, execute estas etapas:
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize a seguinte subchave do registro e, em seguida, clique nela:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Observação:Para aplicativos de 32 bits em plataformas de 64 bits, localize a seguinte subchave do registro e, em seguida, clique nela:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Clicar com o botão direito do rato Config, aponte para Novoe, em seguida, clique em Valor DWORD.
  4. Digite DisableLDAPSignAndEncrypt, e então pressione ENTER.
  5. Clicar com o botão direito do rato DisableLDAPSignAndEncrypte, em seguida, clique em Modificar.
  6. No Dados do valor caixa, digite 0x01e, em seguida, clique em OK.
  7. Sobre o Arquivo menu, clique em Sair.
Depois de aplicar essa configuração, as credenciais NTLM ou Kerberos credenciais são usadas para autenticação. Além disso, o sinalizador de sinal e o sinalizador de criptografia não é definido nas solicitações de LDAP. Essa configuração de volta do computador para o comportamento do Windows XP SP2, Windows Server 2003 SP1 e a versão do Windows Vista.

Alterações no processo de recuperação de rede que usa o protocolo HTTP

O cliente PKI no Windows Vista SP1 e no Windows Server 2008, o processo de recuperação de rede que usa o protocolo HTTP executa a autenticação somente para os proxies são configurados localmente. Se a autenticação é executada depende da mensagem de erro é retornada do proxy. Se o proxy retorna a seguinte mensagem de erro, a autenticação será realizada:
HTTP 407: Autenticação de Proxy necessária
Se o proxy retorna a seguinte mensagem de erro, a autenticação não é executada:
HTTP 401: Acesso negado
Observação: Se a autenticação de proxy for necessária, a autenticação Kerberos e a autenticação NTLM serão executadas.

Se você quiser alterar esse comportamento padrão, siga estas etapas:
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize a seguinte subchave do registro e, em seguida, clique nela:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    Observação:Para aplicativos de 32 bits em plataformas de 64 bits, localize a seguinte subchave do registro e, em seguida, clique nela:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Clicar com o botão direito do rato Config, aponte para Novoe, em seguida, clique em Valor DWORD.
  4. Digite EnableInetUnknownAuth, e então pressione ENTER.
  5. Clicar com o botão direito do rato EnableInetUnknownAuthe, em seguida, clique em Modificar.
  6. No Dados do valor caixa, digite 0x01e, em seguida, clique em OK.
  7. Sobre o Arquivo menu, clique em Sair.
Depois de aplicar essa configuração, a autenticação agora é executada quando o proxy retorna uma "mensagem de erro HTTP 401". Essa configuração de volta do computador para o comportamento do Windows XP SP2, Windows Server 2003 SP1 e a versão do Windows Vista.
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 946401 - Última revisão: sexta-feira, 15 de março de 2013 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Service Pack 1 para Windows Vista
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 946401
(http://support.microsoft.com/kb/946401/en-us/ )
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início