为网络检索的 PKI 对象在 Windows Vista Service Pack 1,Windows Server 2008 中的更改的说明

文章翻译 文章翻译
文章编号: 946401 - 查看本文应用于的产品
重要 本文包含有关如何修改注册表的信息。确保在修改注册表前对其进行了备份。请确保您知道出现问题时如何还原注册表。有关如何备份、 还原和修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表
展开全部 | 关闭全部

本文内容

概要

在证书路径验证,Windows Vista Service Pack 1 (SP1) 和 Windows Server 2008 可能检索对象 (如证书和证书吊销列表 (Crl) 从网络。Windows Vista SP1 和 Windows Server 2008 都通过使用文件协议,HTTP 协议,LDAP 协议支持此网络检索功能。

默认情况下,禁用文件协议,用于网络检索公钥基础结构 (PKI) 对象的网络检索过程中提高安全性。另外,在 Windows Vista SP1 和 Windows Server 2008 中修改使用 LDAP 协议或 HTTP 协议的网络检索过程。有关这些更改的详细信息,请参阅"更多信息"部分。

更多信息

警告如果您通过使用注册表编辑器或使用另一种方法对注册表修改不当,则可能会出现严重的问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

注意证书颁发机构仍可以使用通用命名约定 (UNC) 路径将 Crl 发布到网络位置。这可能是有用的如果 web 服务器虚拟目录,请其提供通过 HTTP 访问 Crl 作为共享的网络位置。

使用文件协议网络检索过程中的更改

默认情况下,使用文件协议网络检索过程被禁用证书操作。如果您想要启用此功能,请按照下列步骤操作:
  1. 单击 开始请单击 运行键入 注册表编辑器然后单击 确定.
  2. 找到下面的注册表子项,然后单击它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    注意32 位应用程序,在 64 位平台上,找到下面的注册表子项,然后单击它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 用鼠标右键单击 配置指向 然后单击 双字节值.
  4. 键入 AllowFileUrlScheme然后按 enter 键。
  5. 用鼠标右键单击 AllowFileUrlScheme然后单击 修改.
  6. 在中 数值数据 框中键入 0x01然后单击 确定.
  7. 文件 菜单上,单击 退出.
此设置将恢复为 Windows XP Service Pack 2 (SP2) 行为的计算机以及 Windows Vista 的发布版本的 Windows Server 2003 SP1。

使用 LDAP 协议网络检索过程中的更改

默认情况下,在 Windows Vista SP1 和 Windows Server 2008 中的 PKI 客户端签名和加密所有 PKI 对象的 LDAP 通信。此外,要求只为网络检索身份验证时,Kerberos 身份验证执行。进行测试,您可能需要禁用 Windows Vista SP1 中的功能,在 Windows Server 2008 中,签名和加密 LDAP 通信。若要执行此操作,请按照下列步骤操作:
  1. 单击 开始请单击 运行键入 注册表编辑器然后单击 确定.
  2. 找到下面的注册表子项,然后单击它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    注意32 位应用程序,在 64 位平台上,找到下面的注册表子项,然后单击它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 用鼠标右键单击 配置指向 然后单击 双字节值.
  4. 键入 DisableLDAPSignAndEncrypt然后按 enter 键。
  5. 用鼠标右键单击 DisableLDAPSignAndEncrypt然后单击 修改.
  6. 在中 数值数据 框中键入 0x01然后单击 确定.
  7. 文件 菜单上,单击 退出.
在应用此设置之后,NTLM 凭据或 Kerberos 凭据用于身份验证。此外,符号标志和加密标志不设置 LDAP 请求中。此设置将恢复计算机到 Windows XP SP2,Windows Server 2003 SP1 和 Windows Vista 的发布版本的行为。

使用 HTTP 协议的网络检索过程中的更改

在 PKI 客户端在 Windows Vista SP1 和 Windows Server 2008 中,使用 HTTP 协议的网络检索过程仅对本地配置的代理服务器执行身份验证。身份验证是否执行取决于从代理返回的错误消息。如果代理服务器所返回下面的错误消息,则执行身份验证:
HTTP 407: 代理服务器要求身份验证
如果代理服务器所返回下面的错误消息,则不执行身份验证:
HTTP 401: 访问被拒绝
注意如果需要代理身份验证,则将执行 Kerberos 身份验证和 NTLM 身份验证。

如果您希望更改这种默认行为,请按照下列步骤操作:
  1. 单击 开始请单击 运行键入 注册表编辑器然后单击 确定.
  2. 找到下面的注册表子项,然后单击它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    注意32 位应用程序,在 64 位平台上,找到下面的注册表子项,然后单击它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 用鼠标右键单击 配置指向 然后单击 双字节值.
  4. 键入 EnableInetUnknownAuth然后按 enter 键。
  5. 用鼠标右键单击 EnableInetUnknownAuth然后单击 修改.
  6. 在中 数值数据 框中键入 0x01然后单击 确定.
  7. 文件 菜单上,单击 退出.
当代理服务器所返回时,将应用此设置之后,现在执行身份验证"HTTP 401"错误消息。此设置将恢复计算机到 Windows XP SP2,Windows Server 2003 SP1 和 Windows Vista 的发布版本的行为。

属性

文章编号: 946401 - 最后修改: 2013年3月15日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 946401
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com