Симптоми
В Windows Server 2008 се опитвате да управлявате просто сертификат записване протокол (SCEP) сертификати чрез мрежови устройства записване услуги (NDES). NDES се инсталира като част от услуги за сертификати в Windows Server 2008. При този сценарий можете да наблюдавате следните проблеми:
Проблем 1
Паролите не могат да бъдат използвани между устройства.
Въз основа на протокола SCEP, устройството трябва да изпрати парола, когато го изисква сертификат от SCEP сървър за първи път. SCEP сървъра издава сертификат след проверка на паролата.
Процес, чрез който сървърът SCEP издава сертификат след проверка на паролата е както следва:
-
Администраторът влиза в SCEP администрация уеб сайт и изисква парола.
-
SCEP сървър генерира парола, го съхранява в кеша и показва парола на администратор.
-
Администраторът конфигурира паролата на устройството.
-
Устройството изпраща паролата си първоначалното искане за сертификат.
Забележка: Тази парола изтече 60 минути. -
Сървърът издава сертификат и премахва паролата от кеша. Паролата не може да се използва от други устройства.
Проблем 2
SCEP сертификати не може да бъде re-enrolled автоматично след изтичане на срока им.
Тъй като тези два проблема той може да отнеме администратори дълго време заявка пароли за всички устройства и да се SCEP сертификати за тях.
Решение
За да разрешите тези два проблема, инсталирайте корекция 959193. Тази актуална корекция въвежда следните две подобрения:
Подобрение 1
След като приложите тази актуална корекция, пароли могат да бъдат използвани между устройства. Новият процес за управление на пароли е както следва:
-
SCEP сървъра потвърждава потребителска настройка "Една парола" режим. В този режим главна парола се създава и съхранява в системния регистър с помощта на шифровани данни. Главна парола никога не изтича.
-
Администратор влиза в уеб сайт за управление на SCEP и изисква парола. Главна парола се доставя.
-
Администраторът конфигурира паролата на устройството. Тъй като паролата е един и същ за всички устройства и поради това не изтича, администраторът може да напишете лесно скрипт за разполагане на паролата на всички устройства.
Как се активира подобрение 1
Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:
322756 създаване на резервно копие и възстановяване на системния регистър в Windows
За да разрешите тази функция, Създайте следния запис в системния регистър:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Забележка: Ако използвате NDES под акаунт на мрежовата услуга, трябва да дадете разрешение за пълен контрол "Мрежова услуга" акаунт под следния подключ на системния регистър: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
Подобрение 2
Сертификати могат да бъдат re-enrolled автоматично след изтичане на срока им. Тази функция е активирана автоматично след инсталирането на актуалната корекция.
По подразбиране, когато заявите подновяване на сертификат с помощта на тази функция, подписал сертификата трябва да има същото име на субекта и алтернативното име на темата като необходимият сертификат. За заобикаляне на това изискване, задайте стойността на записа в системния регистър под следния подключ DisableRenewalSubjectNameMatch 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Забележка: Може да се наложи да създадете този запис в системния регистър чрез тип REG_DWORD, ако записът в системния регистър не съществува.
Информация за актуалната корекция
Поддържана актуална корекция се предлага от Microsoft. Тази актуална корекция обаче е предназначена да коригира само проблема, описан в тази статия. Прилагайте тази корекция само към системи, изпитващи конкретния проблем, описан в настоящата статия. Може да се проведат допълнителни тестове на тази актуална корекция. Следователно ако не сте силно засегнати от този проблем, препоръчваме да изчакате следващата актуализация на софтуера, който ще съдържа тази корекция.
Ако актуалната корекция е налична за изтегляне, има секция "Налично изтегляне предлага" в горната част на тази статия от базата знания. Ако тази секция не се появява, свържете се с Microsoft за обслужване на клиенти и поддръжка, за да получите актуалната корекция.
Забележка: Ако възникнат допълнителни проблеми или проблеми, трябва да създадете отделна заявка за поддръжка. Обичайните такси за поддръжката ще важат за допълнителни въпроси и проблеми, които не спадат към конкретната актуална корекция. За пълен списък на телефонните номера на Microsoft за обслужване на клиенти и поддръжка или да създадете отделна заявка за поддръжка посетете следния уеб сайт на Microsoft:
http://support.microsoft.com/contactus/?ws=supportЗабележка: Формулярът "Налична актуална корекция изтегляне" показва езиците, за които е налична актуалната корекция. Ако не виждате вашия език, това е защото актуалната корекция не е налична за този език.
Важни поправки на Windows Vista и Windows Server 2008 са включени в същите пакети. Обаче само един от тези продукти може да бъде посочен в страницата "Искане за актуална корекция". За да поискате пакета с актуални корекции, който се отнася за Windows Vista и Windows Server 2008, просто изберете продукт, който е в списъка на страницата.
Необходими условия:
Няма предварителни условия.
Изискване за рестартиране
Трябва да рестартирате компютъра, след като приложите тази актуална корекция.
Информация за заместване на актуалната корекция
Тази актуална корекция не замества никакви други подобни корекции.
Файлова информация
Англоезичната версия на тази спешна корекция има файлови атрибути (или по-нови файлови атрибути), които са изброени в следващата таблица. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). Когато гледате информацията за файла, преобразувана в местно време. За да намерите разликата между UTC и местното време, използвайте раздела часова зона в елемента " Дата и час " в контролния панел.
Бележки за файлове на Windows Server 2008
Файловете .manifest и файловете .mum, инсталирани във всяка работна среда, са изброени отделно в раздела "допълнителна информация за Windows Server 2008". Тези файлове и свързаните с тях .cat (каталог за защита) файлове са важни за поддържане на състоянието на актуализирания компонент. Файлове с разширение .cat са подписани с цифров подпис на Microsoft. Атрибутите на тези файлове за защита не са включени.
За всички поддържани базирани на x86 версии на Windows Server 2008
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
За всички поддържани базирани на x64 версии на Windows Server 2008
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Допълнителна информация
За повече информация относно SCEP посетете следния уеб сайт на проекти уеб сайт (IETF):
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Обърнете внимание на този документ изтича на 25 юли 2009 г. За информация след тази дата потърсете "SCEP" на началната страница на сайта.
Microsoft предоставя информация за контакт с трети лица, за да ви помогне да намерите техническа поддръжка. Тази информация може да се променя без уведомяване. Microsoft не гарантира точността на информацията за контакти с други производители.
За повече информация щракнете върху следния номер на статия в базата знания на Microsoft:
824684 описание на стандартната терминология, използвана за описание на софтуерните актуализации на Microsoft
Допълнителна файлова информация за Windows Server 2008
За всички поддържани базирани на x86 версии на Windows Server 2008
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
---|---|---|---|---|---|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприложимо |
13,172 |
18-Jan-2009 |
01:10 |
Неприложимо |
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприложимо |
1423 |
18-Jan-2009 |
01:10 |
Неприложимо |
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприложимо |
13,647 |
18-Jan-2009 |
01:10 |
Неприложимо |
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Неприложимо |
1,431 |
18-Jan-2009 |
01:10 |
Неприложимо |
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
Неприложимо |
43,475 |
17-Jan-2009 |
07:10 |
Неприложимо |
За всички поддържани базирани на x64 версии на Windows Server 2008
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
---|---|---|---|---|---|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
Неприложимо |
43,505 |
17-Jan-2009 |
09:42 |
Неприложимо |
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприложимо |
13,284 |
18-Jan-2009 |
01:10 |
Неприложимо |
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприложимо |
1,431 |
18-Jan-2009 |
01:10 |
Неприложимо |
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприложимо |
13,763 |
18-Jan-2009 |
01:10 |
Неприложимо |
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Неприложимо |
1,439 |
18-Jan-2009 |
01:10 |
Неприложимо |