文章編號: 946401 - 上次校閱: 2008年4月15日 - 版次: 2.1

說明 Windows Vista Service Pack 1 和 Windows Server 2008 中 PKI 物件網路抓取的變更

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要 本文包含如何修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並了解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何在 Windows XP 和 Windows Server 2003 中備份、編輯及還原登錄

在此頁中

全部展開 | 全部摺疊

結論

在執行憑證路徑驗證期間,Windows Vista Service Pack 1 (SP1) 和 Windows Server 2008 可能會透過網路來抓取憑證和憑證撤銷清單 (CRL) 等物件。Windows Vista SP1 和 Windows Server 2008 會透過使用 FILE 通訊協定、HTTP 通訊協定和 LDAP 通訊協定,以支援這個網路抓取功能。

網路抓取公開金鑰基礎結構 (PKI) 物件所用的 FILE 通訊協定預設會停用,以改善網路抓取程序中的安全性。此外,在 Windows Vista SP1 和 Windows Server 2008 中,使用 LDAP 通訊協定和 HTTP 通訊協定的網路抓取程序也經過修改。如需有關這些變更的詳細資訊,請參閱<其他相關資訊>一節。
回此頁最上方

其他相關資訊

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。您可能需要重新安裝作業系統,才能解決這些問題。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。
回此頁最上方

使用 FILE 通訊協定之網路抓取程序中的變更

使用 FILE 通訊協定的網路抓取程序預設會停用,以進行憑證作業。如果您要啟用這個功能,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 用滑鼠右鍵按一下 [Config],指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 AllowFileUrlScheme,然後按下 ENTER。
  5. 用滑鼠右鍵按一下 [AllowFileUrlScheme],然後按一下 [修改]
  6. [數值資料] 方塊中,輸入 0x01,然後按一下 [確定]
  7. [檔案] 功能表上,按一下 [結束]
這個設定會將電腦還原到 Windows XP Service Pack 2 (SP2)、Windows Server 2003 SP1 以及 Windows Vista 發行版本的行為。
回此頁最上方

使用 LDAP 通訊協定之網路抓取程序中的變更

根據預設,Windows Vista SP1 和 Windows Server 2008 中的 PKI 用戶端會簽署並加密 PKI 物件的所有 LDAP 流量。此外,如果只有網路抓取需要驗證,則會執行 Kerberos 驗證。為了進行測試,您可以停用 Windows Vista SP1 和 Windows Server 2008 中簽署並加密 LDAP 流量的功能。如果要執行這項操作,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 用滑鼠右鍵按一下 [Config],指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 DisableLDAPSignAndEncrypt,然後按下 ENTER。
  5. 用滑鼠右鍵按一下 [DisableLDAPSignAndEncrypt],然後按一下 [修改]
  6. [數值資料] 方塊中,輸入 0x01,然後按一下 [確定]
  7. [檔案] 功能表上,按一下 [結束]
套用這個設定之後,您就可以使用 NTLM 認證或 Kerberos 認證來進行驗證。此外,LDAP 要求中並未設定 [簽署] 旗標和 [加密] 旗標。這個設定會將電腦還原到 Windows XP SP2、Windows Server 2003 SP1 以及 Windows Vista 發行版本的行為。
回此頁最上方

使用 HTTP 通訊協定之網路抓取程序中的變更

在 Windows Vista SP1 和 Windows Server 2008 的 PKI 用戶端中,使用 HTTP 通訊協定的網路抓取程序只會針對在本機設定的 Proxy 執行驗證。是否執行驗證,需視 Proxy 傳回的錯誤訊息而定。如果 Proxy 傳回下列錯誤訊息,就會執行驗證:
HTTP 407:要求 Proxy 驗證
如果 Proxy 傳回下列錯誤訊息,就不會執行驗證:
HTTP 401:拒絕存取
注意 如果需要 Proxy 驗證,則 Kerberos 驗證和 NTLM 驗證都會執行。

如果您要變更這個預設行為,請依照下列步驟執行:
  1. 按一下 [開始],按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. 用滑鼠右鍵按一下 [Config],指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 EnableInetUnknownAuth,然後按下 ENTER。
  5. 用滑鼠右鍵按一下 [EnableInetUnknownAuth],然後按一下 [修改]
  6. [數值資料] 方塊中,輸入 0x01,然後按一下 [確定]
  7. [檔案] 功能表上,按一下 [結束]
套用這個設定之後,當 Proxy 傳回 "HTTP 401" 錯誤訊息時,就會執行驗證。這個設定會將電腦還原到 Windows XP SP2、Windows Server 2003 SP1 以及 Windows Vista 發行版本的行為。
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
回此頁最上方
關鍵字:?
kbexpertiseinter kbhowto kbinfo KB946401
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。