Souhrn změn v rozhraní CryptoAPI logiku ověřování řetězu certifikátu v Windows XP Service Pack 2

Souhrn

Tento článek popisuje změny, které byly provedeny CryptoAPI logiku ověřování řetězu certifikátu v systému Microsoft Windows XP Service Pack 2 (SP2).

Další informace

Certifikát CryptoAPI používá proces Winhttp.dll pro načítání ze sítě namísto Wininet.dll proces, který se používá v verze předcházející aktualizaci SP2 systému Windows XP. Proto systém Windows XP s aktualizací SP2 projevuje následující nové funkce:
  • HTTPS Uniform Resource Locator (URL) již nejsou podporovány jako distribuční bod odkazy.

    Poznámka: HTTPS URL může generovat rekurze odvolání smyčky.
  • URL soubor Transfer Protocol (FTP) již nejsou podporovány.
  • Microsoft Cryptography API (CAPI) podporuje pouze konfiguraci automatického serveru proxy prostřednictvím skriptů JavaScript založen.

    Poznámka: Skripty v jazyce JavaScript včetně souborů s příponou JS, PAC, JVS a dat.
  • Rozhraní CryptoAPI certifikát již použití mezipaměti aplikace Microsoft Internet Explorer (Wininet.dll). Místo toho udržuje samostatné diskové mezipaměti v následujícím umístění:
    C:\Documents and Settings\uživatelské jméno\Application Data\Microsoft\CryptnetUrlCache
  • Ověřování proxy servery, které nepoužívají integrované ověřování systému Windows některé programy nemusí být úspěšný. K tomuto problému dochází, protože proces Winhttp.dll je určen pro neinteraktivní služeb a nezobrazí výzvu pro síťová pověření uživatele.
  • Změnit výchozí hodnoty časového limitu sítě. Tyto změny byly provedeny nejprve vyřešit problém CAPI kryptografie blokování pro delší dobu při načtení seznamu odvolaných certifikátů (CRL) při URL cíl není přístupný. Výchozí hodnoty časového limitu jsou 15 sekund za načtení a 20 sekund za ověření řetězu.
  • Pokud rozhraní CryptoAPI zpracuje certifikáty s příponou přístup k informacím úřadu (AIA), zpracovává maximálně 10 adres URL za řetěz certifikátů nebo pouze 5 adres URL za certifikát. CryptoAPI také omezuje data získaná za řetěz certifikátů k 100 000 bajtů. Tato omezení jsou určeny ke snížení potenciálních použití odkazy AIA v odmítnutí útoků služby.
  • Kde CryptoAPI může vybrat místo aktivní certifikát odvolaný certifikát vystavující certifikační úřad (CÚ) má dva certifikáty problém je nyní vyřešen. Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:

    841641 služba IIS vrátí chybovou zprávu "odvolané certifikát 403.13 klienta" po instalaci MS04-011 kvůli nastavení serveru proxy Wininet

    329433 je vybrán odvolaný certifikát li certifikační autorita v řetězu dva certifikáty

Vlastnosti

ID článku: 887196 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor