两个改进都可用,请在 Windows Server 2008 中使用网络设备注册服务来管理 SCEP 证书所需的时间缩短

文章翻译 文章翻译
文章编号: 959193 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

在 Windows Server 2008 中,要使用网络设备注册服务 (NDES) 来管理简单证书注册协议 (SCEP) 证书。NDES 是作为 Windows Server 2008 中的证书服务的一部分进行安装。在此方案中,您会遇到下列问题:

问题 1

在设备之间,不能重复使用密码。

根据 SCEP 协议,需要使用一个设备第一次从 SCEP 服务器请求一个证书时发送的密码。SCEP 服务器验证该密码后颁发证书。

依据 SCEP 服务器颁发证书验证密码之后的过程是,如下所示:
  1. 管理员登录到 SCEP 管理 Web 站点,并要求输入密码。
  2. SCEP 服务器生成一个随机的密码,将其存储在缓存中,然后显示给管理员的密码。
  3. 管理员在设备上配置密码。
  4. 在其初始请求的证书中,设备会发送此密码。

    注意在 60 分钟后过期的密码。
  5. 服务器颁发证书,然后从缓存中删除该密码。任何其它设备不再可以使用该密码。
问题 2

SCEP 证书不能自动重新注册过期。

由于这两个问题,可能需要管理员很长时间的所有设备,并对它们应用 SCEP 证书请求密码。

解决方案

要解决这两个问题,请安装修补程序 959193。此修补程序引入了以下两个改进:

改进 1

应用此修补程序后,可以在设备间重复使用密码。新的过程来管理密码时,如下所示:
  1. SCEP 服务器确认"单个密码"模式下的注册表设置。在此模式下,主密码创建并存储在注册表中,通过使用加密的数据。主密码永不过期。
  2. 管理员登录到 SCEP 管理 Web 站点,并要求输入密码。主密码将被传递。
  3. 管理员在设备上配置密码。由于密码是相同的所有设备,并且由于它永远不会过期,因此管理员可以轻松地编写一个脚本来部署在所有设备上的密码。
如何启用改进 1

重要提示此部分、方法或任务包含告诉您如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重问题。因此,请确保仔细按这些步骤操作。为增加保护,先备份注册表再对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何在 Windows XP 中备份和还原注册表

要启用此功能,请创建以下注册表项:
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
注意如果您在网络服务帐户下运行 NDES,您必须授予以下注册表子项下的"网络服务"帐户的完全控制权限:
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP
.

改进 2

证书可以重新注册自动过期。在安装此修复程序后,将自动启用此功能。

默认情况下,当您通过使用此功能,请求证书续订时的签名者证书必须具有相同的主题名称和备用使用者名称为所申请的证书。若要回避这一要求,设置的值
DisableRenewalSubjectNameMatch
在 1 到下面的子项下的注册表项。

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch


注意您可能需要创建此注册表项,如果注册表项不存在,则使用 REG_DWORD 类型。

热修复补丁程序信息

可以从 Microsoft 获得支持的热修复补丁程序。但是,此修补程序仅能用于解决本文中描述的问题。此修补程序仅适用于遇到本文所述问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修补程序可以下载,则此知识库文章顶部会出现"提供修补程序下载"部分。如果未显示此节,请联系 Microsoft 客户服务和支持,以获取此修复程序。

注意如果出现其他问题或需要任何故障诊断,您可能需要创建单独的服务请求。到其他支持问题和事项,对于此特定的修补程序不需要将照常收取支持费用。Microsoft 客户服务和支持电话号码,或创建单独的服务请求的完整列表,请访问下面的 Microsoft Web 站点:
http://support.microsoft.com/contactus/?ws=support
注意"可用的热修补程序下载"表格显示此热修复补丁程序适用的语言。如果您看不到您的语言,这是因为热修复补丁程序不适用于该语言。

重要 Windows Vista 和 Windows Server 2008 的修补程序包含在相同的程序包中。但是,这些产品中的只有一个可能"热修复程序请求"页上列出。若要请求适用于 Windows Vista 和 Windows Server 2008 的修复程序包,只需选择该页面列出的产品。

先决条件

没有任何前提条件。

重新启动要求

您必须在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替换任何其他以前发布即时修复程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性) 下表中列出。列出的日期和时间,这些文件按协调通用时间(UTC)。当您查看文件信息时,它已转换为本地时间。到了解 UTC 与本地时间之间的时差,请使用 时间区域 在选项卡 日期和时间 控件中的项面板。
Windows Server 2008 文件信息的备注
.Manifest 文件和.mum 文件安装在每个环境中 分别列出 在"附加文件信息的 Windows Server 2008"一节。这些文件及其关联的.cat (安全目录) 文件都更新组件的状态维护的关键。Microsoft 的数字签名与对.cat 文件进行签名。这些安全文件的属性没有列出。
对于所有受支持的基于 x86 的 Windows Server 2008 的版本
收起该表格展开该表格
文件名称文件版本文件大小日期时间平台
Mscep.dll6.0.6001.22356139,7762009 年 1 月 17 日04:50x86
支持所有基于 x64 的 Windows Server 2008 的版本
收起该表格展开该表格
文件名称文件版本文件大小日期时间平台
Mscep.dll6.0.6001.22356157,1842009 年 1 月 17 日06:25x64

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

更多信息

SCEP 有关详细信息,请访问下面的互联网草稿 Web 站点 (IETF) Web 站点:

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

注意
本文档将于 2009 年 7 月 25 日到期。在此日期之后的信息,请在该 Web 站点的主页上中搜索"SCEP"。

Microsoft 提供的第三方联系信息,以帮助您查找技术支持。此联系信息如有更改恕不另行通知。Microsoft 不能保证第三方联系信息的准确性。

有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明

Windows Server 2008 的其它文件信息

对于所有受支持的基于 x86 的 Windows Server 2008 的版本
收起该表格展开该表格
文件名称文件版本文件大小日期时间平台
Package_for_kb959193_sc_0 ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.0.1.0.mum不适用13,1722009 年 1 月 18 日01:10不适用
Package_for_kb959193_sc ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.0.1.0.mum不适用1,4232009 年 1 月 18 日01:10不适用
Package_for_kb959193_server_0 ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.0.1.0.mum不适用13,6472009 年 1 月 18 日01:10不适用
Package_for_kb959193_server ~ 31bf3856ad364e35 ~ x86 ~ ~ 6.0.1.0.mum不适用1,4312009 年 1 月 18 日01:10不适用
X86_microsoft-windows-c.icateservices mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest不适用43,4752009 年 1 月 17 日07:10不适用
支持所有基于 x64 的 Windows Server 2008 的版本
收起该表格展开该表格
文件名称文件版本文件大小日期时间平台
Amd64_microsoft-windows-c.icateservices mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest不适用43,5052009 年 1 月 17 日09:42不适用
Package_for_kb959193_sc_0 ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum不适用13,2842009 年 1 月 18 日01:10不适用
Package_for_kb959193_sc ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum不适用1,4312009 年 1 月 18 日01:10不适用
Package_for_kb959193_server_0 ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum不适用13,7632009 年 1 月 18 日01:10不适用
Package_for_kb959193_server ~ 31bf3856ad364e35 ~ amd64 ~ ~ 6.0.1.0.mum不适用1,4392009 年 1 月 18 日01:10不适用

属性

文章编号: 959193 - 最后修改: 2013年6月30日 - 修订: 3.0
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
关键字:?
kbautohotfix kbexpertiseadvanced kbfix kbsurveynew kbqfe kbmt KB959193 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 959193
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com