Симптомы
В Windows Server 2008 вы пытаетесь управлять сертификатами простого протокола регистрации сертификатов (SCEP) с помощью службы регистрации сетевых устройств (NDES). NDES устанавливается как часть служб сертификации в Windows Server 2008. В этом случае возникают следующие проблемы:
Проблема 1
Пароли не может быть повторно между устройствами.
На основании протокола SCEP устройства для отправки требуется пароль при запросе сертификата с сервера SCEP в первый раз. Сервер SCEP выдает сертификат после проверки пароля.
Процесс, с помощью которого сервер SCEP выдает сертификат после проверки пароля выглядит следующим образом:
-
Администратор входит в систему на веб-узле администрирования SCEP и ввести пароль.
-
Сервер SCEP создается случайный пароль, сохраняет его в кэше и затем отображает пароль администратора.
-
Администратор настраивает пароль на устройстве.
-
Устройство отправляет этот пароль в его начальный запрос на сертификат.
Примечание. Этот пароль истекает через 60 минут. -
Сервер выдает сертификат и затем удаляет пароль из кэша. Пароль не может использоваться с другими устройствами.
Проблема 2
Сертификаты SCEP Невозможно подать заявку автоматически после истечения срока их действия.
Из-за этих двух проблем займет Администраторы долго запрос паролей для всех устройств и применить к ним сертификатами SCEP.
Решение
Для решения этих двух проблем, исправление 959193. Это исправление представляет две следующие усовершенствования:
Улучшения 1
После установки исправления можно использовать пароли между устройствами. Новый процесс для управления паролями выглядит следующим образом:
-
SCEP сервер подтвердит параметр реестра в режиме «Один пароль». В этом режиме основной пароль создается и хранится в реестре с помощью зашифрованных данных. Основной пароль никогда не истекает.
-
Администратор входит в систему на веб-узел администрирования SCEP и ввести пароль. Основной пароль будет доставлено.
-
Администратор настраивает пароль на устройстве. Поскольку пароль является одинаковым для всех устройств и никогда не истекает, администратор можно легко написать сценарий для развертывания пароль на всех устройствах.
Как включить улучшение 1
Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:
322756 как резервное копирование и восстановление реестра Windows
Чтобы включить эту функцию, создайте следующий параметр реестра:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Примечание. Если NDES работают под учетной записью сетевой службы, необходимо предоставить разрешение на полный доступ к учетной записи «Сетевая служба» в следующем подразделе реестра: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
Улучшение 2
Сертификаты можно подать заявку автоматически после истечения срока их действия. Эта функция включается автоматически после установки исправления.
По умолчанию при запросе обновления сертификатов с помощью этой функции, подписавшего сертификат должен иметь то же имя субъекта и альтернативное имя субъекта как запрашиваемый сертификат. Чтобы обойти это требование, присвойте значение записи реестра DisableRenewalSubjectNameMatch в следующем подразделе 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Примечание. Необходимо создать этот параметр реестра с помощью типа REG_DWORD, если запись реестра не существует.
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
В те же пакеты включены важные исправления для Windows Vista и Windows Server 2008. Однако только один из этих продуктов могут быть указаны на странице «Запрос исправления». Чтобы запросить пакет исправлений, который применяется в Windows Vista и Windows Server 2008, просто выберите продукт, который указан на странице.
Предварительные условия
Не существует предварительных условий.
Необходимость перезагрузки
Необходимо перезагрузить компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.
Примечания к сведениям о файле Windows Server 2008
Файлы с расширением MANIFEST и MUM, устанавливаемые для каждой среды, указаны отдельно в разделе «сведения о дополнительных файлах для Windows Server 2008». Эти файлы и их соответствующие CAT (каталога безопасности) критически важны для поддержания состояния обновляемого компонента. CAT-файлы должны быть подписаны цифровой подписью Майкрософт. Атрибуты данных файлов безопасности не указываются.
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x86
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Дополнительные сведения о SCEP посетите следующий веб-узел проекты стандартов Интернета (IETF) веб-узла:
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Обратите внимание, что этот документ будет действовать на 25 июля 2009 г. Сведения после этой даты выполните поиск «SCEP» на домашней странице веб-узла.
Корпорация Майкрософт предоставляет контактные данные независимых производителей для поиска технической поддержки. Данная информация может изменяться без предупреждения. Корпорация Майкрософт не гарантирует точность контактных данных независимых производителей.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах для Windows Server 2008
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x86
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприменимо |
13,172 |
18-Jan-2009 |
01:10 |
Неприменимо |
|
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприменимо |
1,423 |
18-Jan-2009 |
01:10 |
Неприменимо |
|
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприменимо |
13,647 |
18-Jan-2009 |
01:10 |
Неприменимо |
|
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприменимо |
1,431 |
18-Jan-2009 |
01:10 |
Неприменимо |
|
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
Неприменимо |
43,475 |
17-Jan-2009 |
07:10 |
Неприменимо |
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x64
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
Неприменимо |
43,505 |
17-Jan-2009 |
09:42 |
Неприменимо |
|
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприменимо |
13,284 |
18-Jan-2009 |
01:10 |
Неприменимо |
|
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприменимо |
1,431 |
18-Jan-2009 |
01:10 |
Неприменимо |
|
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприменимо |
13,763 |
18-Jan-2009 |
01:10 |
Неприменимо |
|
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприменимо |
1,439 |
18-Jan-2009 |
01:10 |
Неприменимо |
