Popis změn u načítání objektů infrastruktury veřejných klíčů ze sítě v systémech Windows Vista Service Pack 1 a Windows Server 2008

Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem obnovení registru v případě, že nastane problém. Další informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Zálohování, úpravy a obnovení registru v systémech Windows XP a Windows Server 2003

Souhrn

Systémy Windows Vista Service Pack (SP1) a Windows Server 2008 mohou během ověřování cest k certifikátům načítat ze sítě objekty, jako jsou certifikáty nebo seznamy odvolaných certifikátů (CRL). Systémy Windows Vista SP1 a Windows Server 2008 podporují tuto funkci načítání ze sítě pomocí protokolů FILE, HTTP a LDAP.

Ve výchozím nastavení je protokol FILE pro načítání objektů infrastruktury veřejných klíčů zakázán z důvodu zvýšení zabezpečení během načítání ze sítě. Proces načítání ze sítě používající protokol LDAP nebo protokol HTTP je navíc v systémech Windows Vista SP1 a Windows Server 2008 upraven. Další informace o těchto změnách naleznete v části Další informace.

Další informace

Upozornění: Při nesprávných úpravách registru pomocí programu Editor registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

Změny v procesu načítání ze sítě používajícím protokol FILE

Ve výchozím nastavení je pro operace s certifikáty proces načítání ze sítě používající protokol FILE zakázán. Pokud chcete tuto funkci povolit, postupujte takto:
 1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
 2. Vyhledejte následující podklíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
 3. Klepněte pravým tlačítkem myši na položku Config, přejděte na příkaz Nový a pak klepněte na příkaz Hodnota DWORD.
 4. Zadejte řetězec AllowFileUrlScheme a stiskněte klávesu ENTER.
 5. Klepněte pravým tlačítkem myši na položku AllowFileUrlScheme a klepněte na příkaz Změnit.
 6. Do pole Údaj hodnoty zadejte hodnotu 0x01 a klepněte na tlačítko OK.
 7. V nabídce Soubor klepněte na příkaz Konec.
Toto nastavení vrací systém k chování systému Windows XP s aktualizací Service Pack 2 (SP2), systému Windows Server 2003 s aktualizací SP1 a prodejní verze (RTM) systému Windows Vista.

Změny v procesu načítání ze sítě používajícím protokol LDAP

Ve výchozím nastavení v systémech Windows Vista SP1 a Windows Server 2008 klient infrastruktury veřejných klíčů podepisuje a šifruje veškerý přenos objektů infrastruktury veřejných klíčů přes protokol LDAP. Pokud je ověření požadováno pouze pro načítání ze sítě, dojde k ověření pomocí protokolu Kerberos. Pro účely testování lze v systémech Windows Vista SP1 a Windows Server 2008 zakázat funkci podepisování a šifrování přenosu protokolem LDAP. Postupujte takto:
 1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
 2. Vyhledejte následující podklíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
 3. Klepněte pravým tlačítkem myši na položku Config, přejděte na příkaz Nový a pak klepněte na příkaz Hodnota DWORD.
 4. Zadejte řetězec DisableLDAPSignAndEncrypt a stiskněte klávesu ENTER.
 5. Klepněte pravým tlačítkem myši na položku DisableLDAPSignAndEncrypt a klepněte na příkaz Změnit.
 6. Do pole Údaj hodnoty zadejte hodnotu 0x01 a klepněte na tlačítko OK.
 7. V nabídce Soubor klepněte na příkaz Konec.
Po použití tohoto nastavení jsou pro ověřování použita pověření protokolu NTLM nebo protokolu Kerberos. V požadavcích protokolu LDAP navíc nejsou nastaveny příznaky Sign a Encrypt. Toto nastavení vrací systém k chování systému Windows XP s aktualizací SP 2, systému Windows Server 2003 s aktualizací SP1 a prodejní verze (RTM) systému Windows Vista.

Změny v procesu načítání ze sítě používajícím protokol HTTP

V klientovi infrastruktury veřejných klíčů v systémech Windows Vista SP1 a Windows Server 2008 provádí proces načítání ze sítě používající protokol HTTP ověřování pouze u místně nakonfigurovaných proxy serverů. Chybová zpráva vrácená proxy serverem určuje, zda bude ověřování provedeno. Ověřování je prováděno, pokud proxy server vrátí následující chybovou zprávu:
HTTP 407: Je vyžadováno ověřování serverem proxy.
Ověřování není prováděno, pokud proxy server vrátí následující chybovou zprávu:
HTTP 401: Přístup byl odepřen.
Poznámka: Pokud je vyžadováno ověřování proxy serveru, je provedeno ověření pomocí protokolu Kerberos i pomocí protokolu NTLM.

Pokud chcete změnit toto výchozí chování, postupujte následujícím způsobem:
 1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a potom klepněte na tlačítko OK.
 2. Vyhledejte následující podklíč registru a klepněte na něj:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
 3. Klepněte pravým tlačítkem myši na položku Config, přejděte na příkaz Nový a pak klepněte na příkaz Hodnota DWORD.
 4. Zadejte řetězec EnableInetUnknownAuth a stiskněte klávesu ENTER.
 5. Klepněte pravým tlačítkem myši na položku EnableInetUnknownAuth a potom klepněte na příkaz Změnit.
 6. Do pole Údaj hodnoty zadejte hodnotu 0x01 a klepněte na tlačítko OK.
 7. V nabídce Soubor klepněte na příkaz Konec.
Po použití tohoto nastavení je ověřování prováděno v případě, že proxy server vrátí chybovou zprávu HTTP 401. Toto nastavení vrací systém k chování systému Windows XP s aktualizací SP 2, systému Windows Server 2003 s aktualizací SP1 a prodejní verze (RTM) systému Windows Vista.
Vlastnosti

ID článku: 946401 - Poslední kontrola: 16. 4. 2008 - Revize: 1

Váš názor