網路抓取在 Windows Vista Service Pack 1 及 Windows Server 2008 中的 PKI 物件所做的變更的描述

文章翻譯 文章翻譯
文章編號: 946401 - 檢視此文章適用的產品。
重要 本文包含有關如何修改登錄的資訊。請確定您在修改之前,先備份登錄。請確定您知道如何在發生問題時還原登錄。如需有關如何備份、 還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
全部展開 | 全部摺疊

在此頁中

結論

在憑證路徑驗證,Windows Vista Service Pack 1 (SP1) 與 Windows Server 2008 可能擷取物件,例如憑證及憑證廢止清單 (Crl),從網路。Windows Vista SP1 和 Windows Server 2008 支援這項網路擷取功能使用 FILE 通訊協定、 HTTP 通訊協定及 LDAP 通訊協定。

預設情況下,網路抓取公開金鑰基礎結構 (PKI) 物件的 FILE 通訊協定已停用來改善網路抓取程序期間的安全性。此外,在 Windows Vista SP1 中,並在 Windows Server 2008 中,就會修改使用 LDAP 通訊協定或 HTTP 通訊協定之網路抓取程序。如需有關這些變更的詳細資訊,請參閱 〈 其他資訊 〉 一節。

其他相關資訊

警告如果您不當修改登錄使用登錄編輯程式,或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以解決這些問題。修改登錄,自行承擔風險。

附註憑證授權單位,仍然可以使用通用命名慣例 (UNC) 路徑,將 Crl 發佈到網路位置。這可能會很有用,如果 web 伺服器虛擬目錄,它提供給 Crl 的存取,透過 HTTP 作為共用的網路位置,則項目。

使用 FILE 通訊協定之網路抓取程序中的變更

預設情況下,使用 FILE 通訊協定之網路抓取程序已停用憑證作業。如果您想要啟用這項功能,請依照下列步驟執行:
  1. 按一下 啟動按一下 執行型別 登錄然後按一下 [確定].
  2. 找出下列的登錄子機碼,並按一下該:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    附註32 位元應用程式在 64 位元平台上,找到下列的登錄子機碼,並按一下它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 以滑鼠右鍵按一下 組態指向 然後按一下 DWORD 值.
  4. 型別 AllowFileUrlScheme然後按 ENTER 鍵。
  5. 以滑鼠右鍵按一下 AllowFileUrlScheme然後按一下 修改.
  6. 數值資料 方塊中輸入 0x01然後按一下 [確定].
  7. 在上 檔案 功能表中,按一下 結束.
和 Windows Vista 的發行版本的 Windows Server 2003 SP1,這項設定就會還原電腦的 Windows XP Service Pack 2 (SP2),行為。

使用 LDAP 通訊協定之網路抓取程序中的變更

根據預設,PKI 用戶端在 Windows Vista SP1 中,並在 Windows Server 2008 中簽署並加密所有 PKI 物件的 LDAP 傳輸。此外,如果只需要網路抓取驗證,就會執行 Kerberos 驗證。進行測試,您可能要停用 Windows Vista SP1 中的功能,並在 Windows Server 2008 所簽署並加密 LDAP 流量。若要這樣做,請依照下列步驟執行:
  1. 按一下 啟動按一下 執行型別 登錄然後按一下 [確定].
  2. 找出下列的登錄子機碼,並按一下該:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    附註32 位元應用程式在 64 位元平台上,找到下列的登錄子機碼,並按一下它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 以滑鼠右鍵按一下 組態指向 然後按一下 DWORD 值.
  4. 型別 DisableLDAPSignAndEncrypt然後按 ENTER 鍵。
  5. 以滑鼠右鍵按一下 DisableLDAPSignAndEncrypt然後按一下 修改.
  6. 數值資料 方塊中輸入 0x01然後按一下 [確定].
  7. 在上 檔案 功能表中,按一下 結束.
在套用此設定之後,會使用 NTLM 憑證或 Kerberos 認證進行驗證。此外,正負號的旗標,並加密旗標未設定 LDAP 要求中。這項設定會還原電腦的 Windows XP SP2 的 Windows Server 2003 SP1,和發行版本的 Windows Vista 的行為。

使用 HTTP 通訊協定之網路抓取程序中的變更

在 PKI 用戶端在 Windows Vista SP1 中,與 Windows Server 2008 中,使用 HTTP 通訊協定之網路抓取程序會執行驗證,僅供本機設定的 proxy。是否執行驗證,需視 proxy 傳回的錯誤訊息而定。如果 proxy 傳回下列錯誤訊息,則會執行驗證:
HTTP 407: 要求的 Proxy 驗證
如果 proxy 傳回下列錯誤訊息,將不會執行驗證:
HTTP 401: 存取被拒
附註如果需要 proxy 驗證,將執行 Kerberos 驗證和 NTLM 驗證。

如果您想要變更這個預設行為,請依照下列步驟執行:
  1. 按一下 啟動按一下 執行型別 登錄然後按一下 [確定].
  2. 找出下列的登錄子機碼,並按一下該:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    附註32 位元應用程式在 64 位元平台上,找到下列的登錄子機碼,並按一下它:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 以滑鼠右鍵按一下 組態指向 然後按一下 DWORD 值.
  4. 型別 EnableInetUnknownAuth然後按 ENTER 鍵。
  5. 以滑鼠右鍵按一下 EnableInetUnknownAuth然後按一下 修改.
  6. 數值資料 方塊中輸入 0x01然後按一下 [確定].
  7. 在上 檔案 功能表中,按一下 結束.
Proxy 傳回時,在套用此設定之後,就會立即執行驗證 「 HTTP 401 」 錯誤訊息。這項設定會還原電腦的 Windows XP SP2 的 Windows Server 2003 SP1,和發行版本的 Windows Vista 的行為。

屬性

文章編號: 946401 - 上次校閱: 2013年3月15日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
關鍵字:?
kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:946401
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com