Ändringar av nätverkshämtning av PKI-objekt i Windows Vista Service Pack 1 och Windows Server 2008

Artikelöversättning Artikelöversättning
Artikel-id: 946401 - Visa produkter som artikeln gäller.
Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Säkerhetskopiera registret innan du gör några ändringar i det. Se till att du vet hur du återställer registret om det uppstår ett problem. Om du vill veta mer om hur du säkerhetskopierar, återställer och ändrar registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera, redigera och återställa registret i Windows XP och Windows Server 2003
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Under validering av certifikatsökvägar kan Windows Vista Service Pack 1 (SP1) och Windows Server 2008 hämta exempelvis certifikat och listor över återkallade certifikat (CRL) från nätverket. Windows Vista SP1 och Windows Server 2008 stöder denna hämtning av valideringsdata via nätverket med hjälp av FILE-, HTTP- och LDAP-protokollen.

FILE-protokollet för nätverkshämtning av PKI-objekt (Public Key Infrastructure) inaktiveras som standard för att öka säkerheten under hämtningen. Dessutom har hämtningsprocessen med LDAP- eller HTTP-protokollet ändrats i Windows Vista SP1 och Windows Server 2008. Mer information om ändringarna finns i "Mer information".

Mer Information

Varning! Det kan uppstå allvarliga problem vid felaktiga ändringar av registret med hjälp av Registereditorn eller någon annan metod. De här problemen kan medföra att du måste installera om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Ändra registret på egen risk.

Ändringar av nätverkshämtning med FILE-protokollet

Nätverkshämtning med FILE-protokollet är inaktiverad som standard för certifikatåtgärder. Så här aktiverar du funktionen:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Högerklicka på Config, peka på Nytt och klicka på DWORD-värde
  4. Skriv AllowFileUrlScheme och tryck på RETUR.
  5. Högerklicka på AllowFileUrlScheme och klicka sedan på Ändra.
  6. Skriv 0x01 i rutan Data, och klicka sedan på OK.
  7. Klicka på AvslutaArkiv-menyn.
Med den här inställningen återställs datorn till funktionen i Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1 och slutversionen av Windows Vista.

Ändringar av nätverkshämtning med LDAP-protokollet

PKI-klienten i Windows Vista SP1 och Windows Server 2008 signerar och krypterar som standard all LDAP-trafik för PKI-objekt. Om autentisering bara krävs för nätverkshämtning genomförs dessutom Kerberos-autentisering. Om du för teständamål vill inaktivera funktionen i Windows Vista SP1 och Windows Server 2008 som signerar och krypterar LDAP-trafik gör du så här:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Högerklicka på Config, peka på Nytt och klicka på DWORD-värde
  4. Skriv DisableLDAPSignAndEncrypt och tryck på RETUR.
  5. Högerklicka på DisableLDAPSignAndEncrypt och klicka sedan på Ändra.
  6. Skriv 0x01 i rutan Data, och klicka sedan på OK.
  7. Klicka på AvslutaArkiv-menyn.
Med den här inställningen används NTLM- eller Kerberos-referenser för autentisering. Dessutom anges inte flaggorna Sign och Encrypt i en LDAP-begäran. Med den här inställningen återställs datorn till funktionen i Windows XP SP2, Windows Server 2003 SP1 och slutversionen av Windows Vista.

Ändringar av nätverkshämtning med HTTP-protokollet

I PKI-klienten i Windows Vista SP1 och Windows Server 2008 sker autentisering endast för lokalt konfigurerade proxyservrar i nätverkshämtningsprocessen med HTTP-protokollet. Om autentisering görs beror på felmeddelandet som returneras från proxyservern. Om proxyservern returnerar följande felmeddelande görs autentisering:
HTTP 407: Proxy-autentisering krävs
Om proxyservern returnerar följande felmeddelande görs ingen autentisering:
HTTP 401: Åtkomst nekad
Obs! Om proxyautentisering krävs görs både Kerberos- och NTLM-autentisering.

Så här ändrar du den här standardfunktionen:
  1. Klicka på Start, Kör, skriv regedit och klicka på OK.
  2. Leta upp och klicka på följande registerundernyckel:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Högerklicka på Config, peka på Nytt och klicka på DWORD-värde
  4. Skriv EnableInetUnknownAuth och tryck på RETUR.
  5. Högerklicka på EnableInetUnknownAuth och klicka sedan på Ändra.
  6. Skriv 0x01 i rutan Data, och klicka sedan på OK.
  7. Klicka på AvslutaArkiv-menyn.
När du har gjort den här inställningen görs autentisering när proxyservern returnerar ett "HTTP 401"-felmeddelande. Inställningen gör att datorn fungerar på samma sätt som i Windows XP SP2, Windows Server 2003 SP1 och slutversionen av Windows Vista.

Egenskaper

Artikel-id: 946401 - Senaste granskning: den 16 april 2008 - Revision: 2.1
Informationen i denna artikel gäller:
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Nyckelord: 
kbexpertiseinter kbhowto kbinfo KB946401

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com