2 つの機能強化には、Windows Server 2008 では、ネットワーク デバイス登録サービスを使用して、SCEP の証明書を管理するのに必要な時間を短縮

文書翻訳 文書翻訳
文書番号: 959193
すべて展開する | すべて折りたたむ

目次

現象

Windows Server 2008 では、ネットワーク デバイス登録サービス (NDES) を使用して、単純な証明書登録プロトコル (SCEP) 証明書を管理するためにしようとしています。証明書サービスでは、Windows Server 2008 の一部としては、NDES がインストールされます。このシナリオでは、次の問題が発生します。

問題 1

デバイス間でパスワードを再利用することはできません。

デバイスは、SCEP プロトコルに基づいて、初めて証明書、SCEP サーバーから要求するときにパスワードを送信する必要があります。パスワードを検証した後、証明書、SCEP サーバーが発行されます。

パスワードを検証した後、SCEP サーバー証明書発行のプロセスは次のとおりです。
  1. 管理者は、SCEP 管理 Web サイトにログオンし、パスワードを要求します。
  2. SCEP サーバーは、キャッシュに格納ランダム パスワードが生成されます、管理者に、パスワードを表示します。
  3. 管理者がデバイス上でパスワードを構成します。
  4. デバイスでは、最初の要求、証明書のパスワードを送信します。

    メモ 60 分でこのパスワードの有効期限します。
  5. サーバー証明書を発行し、パスワード キャッシュから削除します。パスワードは、他のデバイスで使用できます。
問題 2

有効期限が切れると SCEP の証明書が自動的に re-enrolled することはできません。

これら 2 つの問題のため、管理者長時間要求パスワードのすべてのデバイスと SCEP の証明書を適用するにかかります。

解決方法

これら 2 つの問題を解決するには、修正プログラム 959193 をインストールします。この修正プログラムには、次の 2 つの機能強化について説明します。

改善 1

この修正プログラムを適用した後、パスワードはデバイス間で再利用できます。パスワードを管理するのには、新しいプロセスは次のとおりです。
  1. SCEP サーバーは「1 つのパスワード」モードのレジストリ設定を確認します。このモードでは、マスター パスワードが作成され、レジストリに暗号化されたデータを使用して保存します。マスター パスワードを無期限にします。
  2. 管理者は、SCEP 管理 Web サイトにログオンし、によってパスワードが要求します。マスター パスワードは配信されます。
  3. 管理者がデバイス上でパスワードを構成します。パスワードが同じすべてのデバイスでは有効期限が切れるので、管理者は簡単にパスワードをすべてのデバイスを展開するためのスクリプトを記述できます。
改善 1 を有効にする方法

重要です このセクション、メソッド、またはタスク、レジストリを変更する方法を示す手順が含まれています。ただし、レジストリを誤って変更すると深刻な問題が発生。そのため、慎重にこの手順を実行することを確認します。これを変更する前に追加された保護のため、レジストリのバックアップを作成します。その後、問題が発生した場合、レジストリを復元できます。レジストリを復元する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
322756 Windows でレジストリを復元する方法

この機能を有効にするには、次のレジストリ エントリを作成します。
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
メモ NDES がネットワーク サービス アカウントで実行している場合は、次のレジストリ サブキーの下の「ネットワーク サービス」アカウントにフル コントロールのアクセス許可を与える必要があります。
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP
.

改善 2

有効期限が切れると証明書が自動的に re-enrolled にできます。この機能は修正プログラムをインストールした後に自動的に有効になります。

この機能を使用して、証明書の書き換えを要求したときに既定では、署名者の証明書を同じサブジェクト名、代替サブジェクト名として要求された証明書が必要です。この要件を回避するには、値を設定します、。
DisableRenewalSubjectNameMatch
レジストリ エントリの次のサブキーを 1 にします。

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch


メモ レジストリ エントリが存在しない場合 REG_DWORD 型を使用してこのレジストリ エントリを作成する必要があります。

修正プログラムの情報

サポートされている修正プログラムがマイクロソフトから入手可能です。ただし、この修正プログラムはこの資料に記載されている問題のみを修正するものです。この修正プログラムはこの資料に記載されている問題が発生しているシステムにのみ適用されます。この修正プログラムは、今後さらにテストを受け取ることがあります。したがって、この問題で深刻な影響をされていない場合は、この修正プログラムを含む次のソフトウェア更新プログラムのリリースを待つことをお勧めします。

この修正プログラムがダウンロードできないか場合は、この記事の上部に「修正プログラムのダウンロード」セクションです。このセクションが表示されない場合は、マイクロソフト カスタマー サービス & サポート修正プログラムを入手するに問い合わせてください。

メモ その他の問題が発生した場合、またはトラブルシューティングが必要な場合は、別のサービス リクエストを作成する必要があります。追加の質問およびこの特定の修正プログラムの対象とならない問題については、通常のサポート料金が適用されます。一覧マイクロソフト カスタマー サービス & サポートの電話番号のまたは別のサービス リクエストを作成するには、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
メモ 「修正プログラムのダウンロード」フォームに修正プログラムが提供されている言語を表示します。お使いの言語が表示されない場合は、修正プログラムがその言語の利用できないためにです。

重要な Windows Vista と Windows Server 2008 の修正プログラムは、同じパッケージに含まれています。ただし、これらの製品は 1 つだけ、「修正プログラムの要求」ページに表示されます。Windows Vista と Windows Server 2008 の両方に適用される修正プログラム パッケージを要求するには、だけで、ページに記載されている製品を選択します。

前提条件

前提条件はありません。

再起動の必要性

この修正プログラムを適用した後にコンピューターを再起動するとして必要。

修正プログラムの置き換えに関する情報

その他の以前にリリースされたこの修正プログラムに置き換えられない修正プログラム。

ファイル情報

この修正プログラムの英語版にファイルがあります。属性 (またはそれ以降のファイル属性) 次の表に記載されています。日付および時刻これらのファイルを世界協定時刻で一覧表示されます。(UTC) です。ファイル情報を表示すると、ローカル時刻に変換します。するにはUTC とローカル時刻との時差を確認、使用、 時間ゾーン タブには 日付と時刻 コントロール内の項目パネルです。
Windows Server 2008 のファイル情報のメモ
.Manifest ファイルがあり、それぞれの環境にインストールされている .mum ファイル 別途記載 "その他のファイルについては、Windows server 2008」の。これらのファイルと関連付けられている .cat (セキュリティ カタログ) ファイルは、更新されたコンポーネントの状態を維持するために重要です。.Cat ファイルは、Microsoft デジタル署名で署名されています。これらのセキュリティ ファイルの属性は表示されません。
サポートされているすべての x 86 ベース バージョンの Windows サーバー 2008年
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォーム
Mscep.dll6.0.6001.22356139,7762009 の 1 月 17 日04: 50x 86
サポートされているすべての Windows Server 2008 の x64 ベース バージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォーム
Mscep.dll6.0.6001.22356157,1842009 の 1 月 17 日06: 25x64

状況

マイクロソフトでは、この「対象」に記載されているマイクロソフト製品の問題として認識しています。

詳細

SCEP の詳細については、次のインターネット ドラフトの Web サイト (IETF) Web サイトを参照してください。

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

メモ
このドキュメントは 2009 年 7 月 25 日終了します。この日後の詳細については、Web サイトの [ホーム] ページで"の SCEP"を検索します。

Microsoft はテクニカル サポートを見つけることに連絡先情報をサード パーティを提供します。この連絡先情報は、予告なく変更可能性があります。マイクロソフトはこのサード パーティ連絡先情報の正確性を保証しません。

詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
824684 マイクロソフトのソフトウェア更新プログラムの説明に使用される一般的な用語の説明

Windows Server 2008 用の追加のファイル情報

サポートされているすべての x 86 ベース バージョンの Windows サーバー 2008年
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォーム
Package_for_kb959193_sc_0 ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mum該当なし13,1722009 の 1 月 18 日01: 10該当なし
Package_for_kb959193_sc ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mum該当なし1,4232009 の 1 月 18 日01: 10該当なし
Package_for_kb959193_server_0 ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mum該当なし13,6472009 の 1 月 18 日01: 10該当なし
Package_for_kb959193_server ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mum該当なし1,4312009 の 1 月 18 日01: 10該当なし
X86_microsoft-windows-c..icateservices mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest該当なし43,4752009 の 1 月 17 日07: 10該当なし
サポートされているすべての Windows Server 2008 の x64 ベース バージョン x
元に戻す全体を表示する
ファイル名ファイルのバージョンファイルのサイズ日付時間プラットフォーム
Amd64_microsoft-windows-c..icateservices mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest該当なし43,5052009 の 1 月 17 日09: 42該当なし
Package_for_kb959193_sc_0 ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum該当なし13,2842009 の 1 月 18 日01: 10該当なし
Package_for_kb959193_sc ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum該当なし1,4312009 の 1 月 18 日01: 10該当なし
Package_for_kb959193_server_0 ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum該当なし13,7632009 の 1 月 18 日01: 10該当なし
Package_for_kb959193_server ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum該当なし1,4392009 の 1 月 18 日01: 10該当なし

プロパティ

文書番号: 959193 - 最終更新日: 2011年8月12日 - リビジョン: 3.0
キーワード:?
kbfix kbqfe kbexpertiseadvanced kbhotfixserver kbautohotfix kbmt kbsurveynew KB959193 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:959193
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com