Zwei Verbesserungen zur Verfügung stehen, kürzen Sie die Zeit, die für SCEP Zertifikate verwalten mithilfe von Network Device Enrollment Service in Windows Server 2008 erforderlich ist

In Windows Server 2008 sind Sie SCEP (Simple Certificate Enrollment Protocol) Zertifikate mithilfe des Device Enrollment Service (NDES) verwalten möchten. Der NDES wird als Teil der Zertifikatsdienste in Windows Server 2008 installiert. In diesem Szenario treten die folgenden Probleme:

Problem 1

Kennwörter können zwischen Geräten wiederverwendet werden.

Basierend auf das Protokoll SCEP, ist ein Gerät erforderlich, um ein Kennwort senden, wenn es zum ersten Mal von einem SCEP-Server ein Zertifikat anfordert. SCEP-Server stellt ein Zertifikat nach der Überprüfung des Kennworts.

Die durch den SCEP-Server ein Zertifikat, ausstellt nach der Überprüfung des Kennworts wird wie folgt:

1. Der Administrator eine SCEP-Verwaltungswebsite anmeldet und ein Kennwort anfordert.
2. SCEP-Server generiert ein zufälliges Kennwort, speichert es im Cache und zeigt dann das Kennwort an den Administrator.
3. Der Administrator konfiguriert das Kennwort auf dem Gerät.
4. Das Gerät sendet dieses Kennwort in der ersten Anforderung für ein Zertifikat.
   
   Hinweis: Dieses Kennwort läuft in 60 Minuten.
5. Der Server stellt das Zertifikat und das Kennwort aus dem Cache entfernt. Das Kennwort kann nicht mehr von anderen Geräten verwendet werden.

Problem 2

SCEP Zertifikate können nicht automatisch re-enrolled sein, nach deren Ablauf.

Wegen dieser zwei Probleme dauert Administratoren eine lange Zeit auf Anforderung Kennwörter für alle Geräte und SCEP Zertifikate auf diese angewendet es.

Installieren Sie den Hotfix 959193 um diese beiden Probleme zu beheben. Dieser Hotfix führt die folgenden zwei Verbesserungen:

Verbesserung 1

Nachdem Sie diesen Hotfix angewendet haben, können Kennwörter zwischen Geräten wiederverwendet werden. Der neue Prozess zum Verwalten von Kennwörtern lautet wie folgt:

1. SCEP-Server bestätigt die Registrierungseinstellung für den Modus "Einmaliges Kennwort". In diesem Modus wird ein Hauptkennwort erstellt und mithilfe von verschlüsselte Daten in der Registrierung gespeichert. Das Hauptkennwort läuft nie ab.
2. Ein Administrator meldet sich ein SCEP-Verwaltungswebsite und ein Kennwort anfordert. Das Hauptkennwort wird übermittelt.
3. Der Administrator konfiguriert das Kennwort auf dem Gerät. Da das Kennwort für alle Geräte identisch ist und läuft nie ab, kann der Administrator einfach ein Skript, das Kennwort auf allen Geräten bereitzustellen schreiben.

zum Aktivieren der Verbesserung 1

wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
Erstellen Sie den folgenden Registrierungseintrag, um dieses Feature zu aktivieren,: Hinweis Wenn Sie NDES unter dem Netzwerkdienstkonto ausgeführt werden, Sie müssen das Konto "Netzwerkdienst" unter dem folgenden Unterschlüssel der Registrierung die Berechtigung Vollzugriff gewähren: .

Verbesserung 2

Zertifikate können automatisch re-enrolled sein, nach deren Ablauf. Dieses Feature ist automatisch aktiviert, sobald der Hotfix installiert ist.

Standardmäßig beim Anfordern einer Zertifikatserneuerung mit diesem Feature muss das Signaturzertifikat der gleichen Antragstellernamen und alternativen Antragstellernamen aufweisen wie das angeforderte Zertifikat. Legen Sie diese Anforderung umgehen, den Wert des -Registrierungseintrags unter dem folgenden Unterschlüssel auf 1 fest.



Hinweis: Sie müssen möglicherweise Erstellen dieser Registrierungseintrag mit Typ REG_DWORD, wenn der Registrierungseintrag nicht vorhanden ist.

Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix kann einem späteren Zeitpunkt zusätzliche Tests unterzogen. Wenn durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf die nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, wenden Sie sich an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website: Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Wichtige Updates für Windows Vista und Windows Server 2008 sind in der gleichen Pakete enthalten. Allerdings kann nur eines dieser Produkte auf der Seite ? Hotfix Anforderung eingeben aufgeführt werden. Um das Hotfix-Paket anzufordern, das für Windows Vista und Windows Server 2008 gilt, wählen Sie nur das Produkt, das auf der Seite aufgeführt ist.

Voraussetzungen

Keine.

Neustartanforderung

Sie müssen den Computer nach Installation dieses Hotfixes neu starten.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keinen zuvor veröffentlichten Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time aufgeführt (UTC). Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung, um die Differenz zwischen UTC und der Ortszeit zu ermitteln.

Windows Server 2008 Datei Hinweise

Die Manifest-Dateien und MUM-Dateien, die in jeder Umgebung installiert werden, sind listed separately im Abschnitt "Weitere Dateiinformationen für Windows Server 2008". Diese Dateien und ihre zugeordneten .cat (Sicherheitskatalog)-Dateien sind entscheidend für den Status der aktualisierten Komponente beizubehalten. Die CAT-Dateien sind mit eine digitale Signatur signiert. Die Attribute dieser Sicherheitsdateien sind nicht aufgelistet.

Für alle unterstützten x 86-basierten Versionen von Windows Server 2008

Für alle unterstützten x 64-basierten Versionen von Windows Server 2008

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Weitere Informationen über SCEP der folgenden Website Internet Drafts-Website (IETF) von: Hinweis: Dieses Dokument läuft ab Juli 25 2009. Informationen nach diesem Datum auf der Homepage der Website nach "SCEP" suchen.

Die Kontaktinformationen bezüglich der in diesem Artikel erwähnten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Microsoft garantiert nicht die Genauigkeit dieser Kontaktinformationen von Drittanbietern.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Weitere Dateiinformationen für Windows Server 2008

Für alle unterstützten x 86-basierten Versionen von Windows Server 2008

Für alle unterstützten x 64-basierten Versionen von Windows Server 2008