Симптоми
Да разгледаме следния сценарий:
-
Имате инсталирана на сървър, работещ под Windows Server 2008 R2 или Windows Server 2012 R2 услуга на Microsoft онлайн отговор.
-
Сървърът се използва за конфигурирането и управлението на проверка на Онлайн протокол за състоянието на сертификати (OCSP).
В този случай отговор на онлайн услугата връща deterministic стойност за всички сертификати, които не са включени в списък за анулираните сертификати (CRL).
Причина
Този проблем възниква, защото OCSP не проверява източник потвърди, че сертификатът всъщност е издаден от му съответния сертифициращ орган. Вместо това ако сертификат не се включва в CRL, услугата онлайн Responder предполага, че сертификатът е валиден и връща стойност на актив.
Решение
За да разрешите този проблем в Windows 8.1 или Windows Server 2012 R2, инсталирайте актуализацията 2967917. За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:
2967917 юли 2014 Сборен пакет за Windows RT 8.1 Windows 8.1 и Windows Server 2012 R2
За да разрешите този проблем в Windows 7 или Windows Server 2008 R2, инсталирайте актуалната корекция, описана в раздела "Информация за актуална корекция" в тази статия.
Преди да инсталирате тази актуална корекция, трябва да конфигурирате OCSP услугата за четене на които са издадени от сертифициращия орган. За да направите това, следвайте стъпките в този раздел, за да създадете директория мястото, където да запишете файловете на серийния номер и да създадете ключовете на системния регистър, която сочи към тази директория.
Бележки
-
Директория може да се намира в мрежов дял или на локален компютър. Ако зададете конфигурацията масив, препоръчваме да поддържате директорията в мрежата така, че всички членове на масив може да е "четене" достъп до него.
-
Независимо къде се намира директорията Уверете се, че услугата OCSP има разрешение за четене до директорията. Настройките на системния регистър няма да важат за всички Microsoft онлайн отговор, които не са кръпка от тази актуална корекция.
Конфигуриране на услугата на OCSP
Изпълнете следните стъпки на сертифициращ орган компютъра, за които сте конфигурирали OCSP услугата.
Стъпка 1: Директория структура
-
Стартирайте Notepad и след това поставете следния примерен скрипт в нов документ:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Запишете новия документ като Certs.ps1.
-
Създаване на директория, в която трябва да се съхраняват празни файлове, които отговарят на всички издадени поредните номера.
-
Скрипт Certs.ps1. За целта изпълнете следната команда в Windows PowerShell:
Certs.ps1 < адресна книга местоположение създадохте в стъпка 3 >
-
Проверете директорията, която сте създали в стъпка 3, за да се уверите, че файловете съответстват на издадени поредните номера.
Забележка: Ако имате няколко CAs хоства във вашата среда, уверете се, че съответните им сериен номер директории са различни. Не се споделят между различни CAs същата директория. -
Скрипт на CA компютър и качване записания файл, като го ограничителни файлове. Файлът не трябва да се редактира. Уверете се, че всички компютри с Microsoft онлайн отговор достъп до това местоположение.
Повече информация относно тази процедура
Microsoft онлайн отговор връща стойност на неизвестен за всички сертификати, които са издадени, но все още не е във файла, който е създаден в стъпка 6. Този скрипт трябва да изпълнява редовно интервал от време и обновява, за да онлайн отговор на Microsoft да предостави актуална състояние. Тази настройка на интервал зависи от вашата конкретна разполагане среда. Препоръчваме да изберете подходящ интервал от 4 часа на стойността на следващия CRL датата за публикуване.
Стъпка 2: регистрация
Предупреждение Неправилното модифициране на системния регистър с помощта на редактора на системния регистър или по друг начин може да доведе до възникване на сериозни проблеми. Тези проблеми могат да наложат преинсталиране на операционната система. Microsoft не гарантира, че тези проблеми могат да бъдат разрешени. Вие поемате риска при модифициране на системния регистър.
-
Затворете всички приложения на Windows.
-
Щракнете върху Старт, щракнете върху изпълнение, въведете regeditи щракнете върху OK.
-
Намерете и изберете следния подключ на системния регистър:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Изберете сертифициращ орган (CA), за които сте създали в структурата на директориите.
-
С десния бутон върху Доставчик възел, посочете Създайи щракнете върху Многонизова стойност.
-
Въведете IssuedSerialNumbersDirectoriesи след това натиснете Enter.
-
С десния бутон върху IssuedSerialNumbersDirectoriesи след това щракнете върху Промяна.
-
В полето за стойност въведете пътя до директорията сте създали в стъпка 3 на директорията структура процедура и, която съдържа издадени поредните номера и щракнете върху OK.
За пътя до директорията използвайте следния формат:\\<computername>\<directorylocation>Например използвайте пътя, подобно на следното:
\\contoso-ocspfileserver\SerialNumbers
-
В менюто файл щракнете върху изход , за да излезете от редактора на системния регистър.
-
Инсталиране на пакета с актуални корекции, описан в тази статия.
След като изпълните "Структура на директория" и "Регистър" стъпки, инсталирайте пакета с актуални корекции, описан в тази статия.
Резултати
След инсталирането на спешната корекция онлайн Responder услугата трябва да направете следното:
-
Връща стойност за сертификати, които се проверяват
-
Връща стойност ОТНЕТИ сертификати, които са включени в CRL
-
Връща стойност от неизвестен за всички сертификати, които не могат да бъдат проверени
Информация за актуалната корекция
Поддържана актуална корекция е налична от поддръжката на Microsoft. Тази актуална корекция обаче е предназначена да коригира само проблема, описан в тази статия. Прилагайте тази корекция само към системи, изпитващи конкретния проблем, описан в тази статия. Може да се проведат допълнителни тестове на тази актуална корекция. Следователно ако не сте силно засегнати от този проблем, препоръчваме да изчакате следващата актуализация на софтуера, който ще съдържа тази корекция.
Ако актуалната корекция е налична за изтегляне, има секция "Налично изтегляне предлага" в горната част на тази статия от базата знания. Ако тази секция не се появява, свържете се с Microsoft за обслужване на клиенти и поддръжка, за да получите актуалната корекция.
Забележка: Ако възникнат допълнителни проблеми или проблеми, трябва да създадете отделна заявка за поддръжка. Обичайните такси за поддръжката ще важат за допълнителни въпроси и проблеми, които не спадат към конкретната актуална корекция. За пълен списък на телефонните номера на Microsoft за обслужване на клиенти и поддръжка или да създадете отделна заявка за поддръжка посетете следния уеб сайт на Microsoft:
http://support.microsoft.com/contactus/?ws=supportЗабележка: Формулярът "Налична актуална корекция изтегляне" показва езиците, за които е налична актуалната корекция. Ако не виждате вашия език, това е защото актуалната корекция не е налична за този език.
Необходими условия:
За да приложите тази актуална корекция, трябва да имате за Windows 7 или Windows Server 2008 R2 инсталиран Service Pack 1 .
Изискване за рестартиране
Не трябва да рестартирате компютъра, след като приложите тази актуална корекция.
Информация за заместване на актуалната корекция
Тази актуална корекция не замества никакви предишни спешни корекции.
Английски (САЩ) версия на тази актуална корекция инсталира файлове, които имат атрибути, изброени в следващите таблици. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). Датите и часовете за тези файлове на вашия компютър се показват в локалното ви време с текущото отместване за лятно часово време (DST). Освен това датите и часовете може да се променят, когато изпълните определени операции върху файловете.
Информация за файла на Windows 7 и Windows Server 2008 R2 и бележкиВажно: Актуалните корекции за Windows 7 и Windows Server 2008 R2 са включени в същите пакети. Обаче актуалните корекции в страницата на искане за актуална корекция са изброени и под двете операционни системи. За да поискате пакета с актуални корекции, който се отнася до едната или и двете операционни системи, изберете актуалната корекция, която е в списъка под "Windows 7/Windows Server 2008 R2" на страницата. Винаги проверявайте в секцията "Отнася се за" в статиите, за да определите действителната операционна система, който се отнася всяка актуална корекция.
-
Файловете, които се отнасят до конкретен продукт, SR_Level (RTM, SPn), и папка (LDR, GDR), могат да бъдат идентифицирани чрез преглеждане на числата за версия на файла, както е показано в следващата таблица.
Версия
Продукт
SR_Level
Клон на услуга
6.1.760
1. 22xxxWindows 7 и Windows Server 2008 R2
SP1
LDR
-
GDR папките съдържат само онези файлове, които са за широко разпространение адрес широко, изключително важни проблеми. LDR папките съдържат актуални корекции в допълнение на корекциите за широко разпространение.
-
Файловете MANIFEST (.manifest) и файловете MUM (.mum), инсталирани за всяка работна среда, са изброени отделно в раздела "Допълнителна файлова информация за Windows 7 и Windows Server 2008 R2". MUM и MANIFEST файловете и файлове свързана защита (.cat), са изключително важни за поддържане на състоянието на актуализираните компоненти. Каталожните файлове на защитата, за които не са изброени атрибути, са подписани с цифров подпис на Microsoft.
За всички поддържани x 86-базирани версии на Windows 7
|
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
Изисквания за сервизен пакет |
Клон на услуга |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Няма |
Неприложимо |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
За всички поддържани базирани на x64 версии на Windows 7 и Windows Server 2008 R2
|
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
Изисквания за сервизен пакет |
Клон на услуга |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Няма |
Неприложимо |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Няма |
Неприложимо |
Допълнителна файлова информация за Windows 7 и Windows Server 2008 R2
Допълнителни файлове за всички поддържани базирани на x86 версии на Windows 7
|
Свойство на файл |
Стойност |
|---|---|
|
Име на файл |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
720 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
13:22 |
|
Платформа |
Неприложимо |
|
Име на файл |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
719 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
13:22 |
|
Платформа |
Неприложимо |
|
Име на файл |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
63,628 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
07:59 |
|
Платформа |
Неприложимо |
|
Име на файл |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
11,236 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
08:00 |
|
Платформа |
Неприложимо |
Допълнителни файлове за всички поддържани базирани на x64 версии на Windows 7 и Windows Server 2008 R2
|
Свойство на файл |
Стойност |
|---|---|
|
Име на файл |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
723 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
13:22 |
|
Платформа |
Неприложимо |
|
Име на файл |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
721 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
13:22 |
|
Платформа |
Неприложимо |
|
Име на файл |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
724 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
13:22 |
|
Платформа |
Неприложимо |
|
Име на файл |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
63,632 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
08:30 |
|
Платформа |
Неприложимо |
|
Име на файл |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
11,240 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
08:30 |
|
Платформа |
Неприложимо |
|
Име на файл |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Версия на файла |
Неприложимо |
|
Размер на файла |
63,628 |
|
Дата (UTC) |
30-May-2014 |
|
Време (UTC) |
07:59 |
|
Платформа |
Неприложимо |
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Допълнителна информация
Тази корекция предвижда промяна на проекта, които прави Microsoft OCSP отговор е наясно с всички сертификати, за които е вярно:
-
Те са издадени от CA.
-
Те не са отменени.
-
Те са в момента в своя период на валидност.
Препратки
Научете повече за терминологията , използвана за описание на софтуерните актуализации от Microsoft.
