Доступны два усовершенствования, сократить время, необходимое для управления сертификатами SCEP с использованием устройств записи сетевой службы в Windows Server 2008

Код статьи: 959193 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

На этой странице

Проблема

В Windows Server 2008 вы пытаетесь управлять сертификатами простого протокола регистрации сертификатов (SCEP) с помощью службы регистрации сетевых устройств (NDES). NDES устанавливается как часть служб сертификации Windows Server 2008. В этом случае наблюдаются следующие проблемы:

Проблема 1

Пароли не могут быть повторно использованы между устройствами.

В зависимости от протокола SCEP устройства для отправки требуется пароль при запросе сертификата с сервера SCEP в первый раз. SCEP сервер выдает сертификат после проверки пароля.

Процесс, по которому сервер SCEP выдает сертификат, после проверки пароля выглядит следующим образом:
  1. Администратор входит в систему на веб-узел администрирования SCEP и ввести пароль.
  2. Сервер SCEP создается случайный пароль сохраняется в кэше и затем отображает пароль администратора.
  3. The administrator configures the password on the device.
  4. The device sends this password in its initial request for a certificate.

    Примечание.This password expires in 60 minutes.
  5. The server issues the certificate and then removes the password from the cache. The password can no longer be used by any other devices.
Проблема 2.

SCEP certificates cannot be re-enrolled automatically after they expire.

Because of these two issues, it may take administrators a long time to request passwords for all devices and to apply SCEP certificates to them.
Перейти к началу страницы | Отправить отзыв

Решение

To resolve these two issues, install hotfix 959193. This hotfix introduces the following two improvements:

Improvement 1

After you apply this hotfix, passwords can be reused among devices. The new process to manage passwords is as follows:
  1. The SCEP server confirms the registry setting for "Single Password" mode. In this mode, a master password is created and stored in the registry by using encrypted data. The master password never expires.
  2. An administrator logs on to an SCEP administration Web site and requests a password. The master password is delivered.
  3. The administrator configures the password on the device. Because the password is the same for all devices and because it never expires, the administrator can easily write a script to deploy the password on all devices.
How to enable improvement 1

Существенный:Этот раздел, метод или задачу включены действия по инструкции по изменению реестра. Однако, серьезные проблемы могут возникнуть в случае некорректного изменения реестра.. Поэтому при выполнении этих действий рекомендуется строго соблюдать инструкции.. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра.. В этом случае при возникновении неполадок реестр можно будет восстановить.. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт::
322756
(http://support.microsoft.com/kb/322756/ )
Создание резервных копий и восстановление реестра Windows

To enable this feature, create the following registry entry:
Location: HKEY_LOCAL_MACHINE\Microsoft\Cryptography\MSCEP
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Примечание.If you are running NDES under the Network Service account, you must grant Full Control permission to the "Network Service" account under the following registry subkey:
HKEY_LOCAL_MACHINE\Microsoft\Cryptography\MSCEP
.

Improvement 2

Certificates can be re-enrolled automatically after they expire. This feature is enabled automatically after the hotfix is installed.

By default, when you request a certificate renewal by using this feature, the signer certificate must have the same subject name and alternate subject name as the requested certificate. To circumvent this requirement, set the value of the
DisableRenewalSubjectNameMatch
registry entry under the following subkey to 1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP


Примечание.You may have to create this registry entry by using REG_DWORD type if the registry entry does not exist.

Сведения об исправлении

Вам доступно исправление от корпорации Майкрософт.. Это исправление предназначено для устранения проблемы, описанной в этой статье.. Это исправление необходимо применять только в тех системах, в которых наблюдается данная проблема.. Исправление может проходить дополнительное тестирование.. Таким образом эта проблема не является постоянной для вас, мы рекомендуем дождаться следующего автоматического обновления программного обеспечения, содержащего это исправление..

Если исправление доступно для загрузки, имеется раздел «Доступные загрузки» в верхней части этой статьи базы знаний.. Если этот раздел не отображается, обратитесь в Службу поддержки клиентов Microsoft для получения исправления..

Примечание.Другие проблемы или если требуется устранить неполадки, возможно, потребуется создать отдельный запрос. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются вами дополнительно.. Полный список телефонов поддержки и обслуживания клиентов Microsoft или информацию по созданию отдельного запроса на обслуживание вы можете найти на веб-сайте Майкрософт::
http://support.microsoft.com/contactus/?ws=support
(http://support.microsoft.com/contactus/?ws=support)
Примечание.В форме "Исправление доступно для загрузки" отображаются языки, для которых доступно исправление. Если язык не отображается, это значит, что исправление не доступно для данного языка..

Важные исправления для Windows Vista и Windows Server 2008 включены в одни пакеты.. Тем не менее только один из этих продуктов могут быть указаны на странице “ исправление запрос ”. Для запроса пакета исправлений для Windows Vista и Windows Server 2008 просто выберите продукт, указанный на странице..

Предвартельные требования

Не существует предварительных условий.

Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки этого исправления.

Сведения о заменяемых исправлениях

Это исправление не заменяет ранее выпущенные исправления.

СВЕДЕНИЯ О ФАЙЛАХ

Английская версия исправления содержит версии файлов, приведенные в следующей таблице (или более поздние).. Дата и время для файлов указаны во всеобщем скоординированном времени (UTC).. При просмотре сведений о файле, время изменяется на местное.. Чтобы узнать разницу между временем по Гринвичу и местным временем,Часовой поясна вкладкеДата и времяэлемент управления панели.
Сведения о файлах для Windows Server 2008
Файлы манифеста и .mum файлы, установленные в каждой средеУказанный отдельноin the "Additional file information for Windows Server 2008" section. Эти файлы и соответствующие CAT-файлы (каталога безопасности) критически важны для отслеживания состояния обновляемого компонента.. CAT-файлы снабжены цифровой подписью Майкрософт.. Атрибуты данных файлов безопасности не указываются..
Для всех поддерживаемых x 86-разрядных версий Windows Server 2008
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформа
Mscep.dll6.0.6001.22356139,77617-Jan-200904: 50X86
Для всех поддерживаемых версий Windows Server 2008 для платформы x64
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформа
Mscep.dll6.0.6001.22356157,18417-Jan-200906: 25X64
Перейти к началу страницы | Отправить отзыв

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе «Применяется к»..
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

For more information about SCEP, visit the following Internet Drafts Web site (IETF) Web site:

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Примечание.This document will expire on July 25, 2009. For information after this date, search for "SCEP" on the home page of the Web site.

Контактные данные независимых производителей предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку.. Эти данные могут быть изменены без предварительного уведомления.. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей..

Для получения дополнительных сведений обратитесь к следующей статье Базы Знаний Майкрософт::
824684
(http://support.microsoft.com/kb/824684/ )
Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Сведения о дополнительных файлах для Windows Server 2008

Для всех поддерживаемых x 86-разрядных версий Windows Server 2008
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформа
Package_for_kb959193_sc_0 ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mumНеприменимо13,17218 Января 2009 г.01: 10Неприменимо
Package_for_kb959193_sc ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mumНеприменимо1,42318 Января 2009 г.01: 10Неприменимо
Package_for_kb959193_server_0 ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mumНеприменимо13,64718 Января 2009 г.01: 10Неприменимо
Package_for_kb959193_server ~ 31bf3856ad364e35 ~ x 86 ~ ~ 6.0.1.0.mumНеприменимо1,43118 Января 2009 г.01: 10Неприменимо
X86_microsoft-windows-c...icateservices mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifestНеприменимо43,47517 Января 2009 г.07: 10Неприменимо
Для всех поддерживаемых версий Windows Server 2008 для платформы x64
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформа
Amd64_microsoft-windows-c...icateservices mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifestНеприменимо43,50517 Января 2009 г.09: 42Неприменимо
Package_for_kb959193_sc_0 ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mumНеприменимо13,28418 Января 2009 г.01: 10Неприменимо
Package_for_kb959193_sc ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mumНеприменимо1,43118 Января 2009 г.01: 10Неприменимо
Package_for_kb959193_server_0 ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mumНеприменимо13,76318 Января 2009 г.01: 10Неприменимо
Package_for_kb959193_server ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mumНеприменимо1,43918 Января 2009 г.01: 10Неприменимо
Перейти к началу страницы | Отправить отзыв
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования
(http://go.microsoft.com/fwlink/?LinkId=151500)
.
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 959193 - Последнее изменение :: 29 ноября 2010 г. - Редакция: 2.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Ключевые слова: 
kbautohotfix kbexpertiseadvanced kbfix kbsurveynew kbqfe kbmt KB959193 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:959193
(http://support.microsoft.com/kb/959193/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы