Описание изменений в сети извлечение объектов PKI в Windows Vista с пакетом обновления 1 (SP1) и Windows Server 2008

Переводы статьи Переводы статьи
Код статьи: 946401 - Vizualiza?i produsele pentru care se aplic? acest articol.
ВажноСтатья содержит сведения об изменении реестра. Убедитесь в наличии резервной копии реестра перед внесением изменений.. и изучить процедуру его восстановления.. Для получения дополнительных сведений о резервной копии, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756Способы резервного копирования и восстановления реестра в Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Во время подтверждения пути сертификата, Windows Vista с пакетом обновления 1 (SP1) и Windows Server 2008 может извлекать объекты, такие как сертификатов и списков отзыва сертификатов (CRL из сети). Windows Vista SP1 и Windows Server 2008 поддерживают эти функции извлечения сети с помощью протокола LDAP, протокол файла и протокол HTTP.

Отключена по умолчанию, протокол файла для извлечения сетевых объектов инфраструктуры открытого ключа (PKI) для повышения безопасности в процессе извлечения сети. Кроме того в Windows Vista SP1 и Windows Server 2008, изменяется процесс извлечения сети, использующей протокол LDAP или протокол HTTP. Дополнительные сведения об этих изменениях содержатся в разделе “ Дополнительная информация ”.

Дополнительная информация

ПредупреждениеПри неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы . Эти проблемы могут привести к необходимости переустановки операционной системы.. Корпорация Майкрософт не гарантирует, что эти проблемы можно будет устранить.. Изменения в реестр на свой собственный риск.

Изменения в процессе извлечения сети, использующей протокол файла

Отключена по умолчанию, процесс извлечения сети, который использует протокол файла сертификата операций. Если требуется включить эту функцию, выполните следующие действия:
  1. Нажмите кнопкуЗапуститьщелкнитеЗапуститьВведитеregedit, а затем нажмите кнопкуОК.
  2. Найдите следующий раздел реестра, а затем нажмите кнопку:
    0\CertDllCreateCertificateChainEngine\Config HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType
    ПримечаниеДля 32-разрядных приложений на 64-разрядных платформах, найдите следующий раздел реестра, а затем нажмите кнопку:
    0\CertDllCreateCertificateChainEngine\Config HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType
  3. Щелкните правой кнопкой мышиНастройкаи выберите последовательно пунктыНовый, а затем нажмите кнопкуЗначение DWORD.
  4. ТипAllowFileUrlScheme, а затем нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мышиAllowFileUrlScheme, а затем нажмите кнопкуИзменить.
  6. ВЗначение данныхполе, тип0x01, а затем нажмите кнопкуОК.
  7. НаФайлменю, нажмите кнопкуВыход.
Этот параметр отменяет компьютер, чтобы поведение Windows XP с пакетом обновления 2 (SP2), Windows Server 2003 SP1 и версии для Windows Vista.

Изменения в процессе извлечения сети, использующей протокол LDAP

По умолчанию клиент PKI в Windows Vista SP1 и Windows Server 2008 подпись и шифрование трафика LDAP для объектов инфраструктуры открытого ключа. Кроме того Если проверка подлинности необходима только для загрузки сети, выполняется проверка подлинности Kerberos. Для тестирования, может потребоваться отключить функциональные возможности в пакете обновления 1 для Windows Vista и Windows Server 2008, подпись и шифрование LDAP трафика. Чтобы сделать это, выполните следующие действия:
  1. Нажмите кнопкуЗапуститьщелкнитеЗапуститьВведитеregedit, а затем нажмите кнопкуОК.
  2. Найдите следующий раздел реестра, а затем нажмите кнопку:
    0\CertDllCreateCertificateChainEngine\Config HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType
    ПримечаниеДля 32-разрядных приложений на 64-разрядных платформах, найдите следующий раздел реестра, а затем нажмите кнопку:
    0\CertDllCreateCertificateChainEngine\Config HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType
  3. Щелкните правой кнопкой мышиНастройкаи выберите последовательно пунктыНовый, а затем нажмите кнопкуЗначение DWORD.
  4. ТипDisableLDAPSignAndEncrypt, а затем нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мышиDisableLDAPSignAndEncrypt, а затем нажмите кнопкуИзменить.
  6. ВЗначение данныхполе, тип0x01, а затем нажмите кнопкуОК.
  7. НаФайлменю, нажмите кнопкуВыход.
После применения этого параметра, либо учетные данные NTLM или Kerberos учетные данные используются для проверки подлинности. Кроме тогоЗнакфлаг иШифрованиефлаг не были заданы в LDAP-запросов. Этот параметр отменяет компьютер, чтобы поведение Windows XP SP2, Windows Server 2003 с пакетом обновления 1 и версии для Windows Vista.

Изменения в процессе извлечения сети, который использует HTTP протокол

Клиент в PKI в Windows Vista SP1 и Windows Server 2008, процесс извлечения сети, что протокол HTTP используется выполняет проверку подлинности только для прокси-серверы, настроенные локально. Выполняется ли проверка подлинности зависит от сообщение об ошибке, возвращенного прокси-сервера. Если прокси-сервер возвращает сообщение об ошибке, проверка подлинности выполняется:
HTTP 407: требуется проверка подлинности прокси
Если прокси-сервер возвращает сообщение об ошибке, проверка подлинности не выполняется:
Ошибка HTTP 401: отказ в доступе
ПримечаниеЕсли необходима проверка подлинности прокси-сервера, будет выполнена проверка подлинности Kerberos и проверка подлинности NTLM.

Если вы хотите изменить это поведение по умолчанию, выполните следующие действия:
  1. Нажмите кнопкуЗапуститьщелкнитеЗапуститьВведитеregedit, а затем нажмите кнопкуОК.
  2. Найдите следующий раздел реестра, а затем нажмите кнопку:
    0\CertDllCreateCertificateChainEngine\Config HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType

    ПримечаниеДля 32-разрядных приложений на 64-разрядных платформах, найдите следующий раздел реестра, а затем нажмите кнопку:
    0\CertDllCreateCertificateChainEngine\Config HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType
  3. Щелкните правой кнопкой мышиНастройкаи выберите последовательно пунктыНовый, а затем нажмите кнопкуЗначение DWORD.
  4. ТипEnableInetUnknownAuth, а затем нажмите клавишу ВВОД.
  5. Щелкните правой кнопкой мышиEnableInetUnknownAuth, а затем нажмите кнопкуИзменить.
  6. ВЗначение данныхполе, тип0x01, а затем нажмите кнопкуОК.
  7. НаФайлменю, нажмите кнопкуВыход.
После применения этого параметра проверки подлинности теперь выполняются, когда прокси-сервер возвращает значение «HTTP 401» сообщение об ошибке. Этот параметр отменяет компьютер, чтобы поведение Windows XP SP2, Windows Server 2003 с пакетом обновления 1 и версии для Windows Vista.

Свойства

Код статьи: 946401 - Последний отзыв: 11 сентября 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Service Pack 1 для Windows Vista
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:946401

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com