Příznaky
Jde o takovouto situaci:
-
Máte nainstalován na serveru se systémem Windows Server 2008 R2 nebo Windows Server 2012 R2 služby Microsoft Online respondéru.
-
Server se používá ke konfiguraci a správě Online Certificate Status Protocol (OCSP) ověřování.
V tomto scénáři služba Online respondéru nevrací deterministický hodnota platná pro všechny certifikáty, které nejsou zahrnuty v seznamu odvolaných certifikátů (CRL).
Příčina
K tomuto problému dochází, protože protokolu OCSP neověřuje se zdrojem potvrzené, že certifikát byl vydán ve skutečnosti jeho odpovídající certifikační autoritou. Místo toho pokud certifikát není součástí seznamu CRL, služba Online respondéru se předpokládá, že certifikát je platný a vrátí hodnotu zboží.
Řešení
Chcete-li vyřešit tento problém ve Windows 8.1 nebo Windows Server 2012 R2, nainstalujte aktualizaci 2967917. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
2967917 července 2014 kumulativní aktualizace pro Windows RT 8.1, Windows 8.1 a Windows Server 2012 R2
Chcete-li vyřešit tento problém v systému Windows 7 nebo Windows Server 2008 R2, nainstalujte opravu hotfix, která je popsána v části "Informace o opravě Hotfix" v tomto článku.
Před instalací této opravy hotfix je nutné nakonfigurovat službu protokolu OCSP ke čtení sériových čísel, které jsou vydávány certifikačním úřadem. Chcete-li to provést, postupujte podle kroků v této části, chcete-li vytvořit umístění adresáře, ve kterém chcete uložit soubory sériové číslo a k vytvoření klíče registru, které odkazují na tento adresář.
Poznámky
-
Adresář můžete umístěné ve sdílené síťové složce nebo na místním počítači. Nastavení konfigurace pole doporučujeme umístit adresář ve sdílené síťové složce, tak, aby všechny členy pole může mít "čtení" přístup k němu.
-
Bez ohledu na to, kde je umístěn v adresáři Ujistěte se, zda má služba OCSP do adresáře oprávnění čtení. Nastavení registru se nevztahují na všechny Microsoft Online respondérů, které nejsou opravené touto opravou hotfix.
Konfigurace služby protokolu OCSP
Spusťte následující kroky v počítači certifikační úřad, které jste nakonfigurovali službu protokolu OCSP.
Krok 1: Adresářové struktury
-
Spusťte program Poznámkový blok a vložte následující ukázkový skript do nového dokumentu:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Uložte nový dokument jako Certs.ps1.
-
Vytvořte adresář, ve kterém mají být uloženy prázdné soubory, které odpovídají všechna sériová čísla vydaných.
-
Spusťte skript Certs.ps1. Chcete-li to provést, spusťte v prostředí Windows PowerShell následující příkaz:
Certs.ps1 < umístění adresáře vytvořené v kroku 3 >
-
Zkontrolujte adresář, který jste vytvořili v kroku 3 a ujistěte se, zda soubory odpovídají vydané sériová čísla.
Poznámka: Pokud máte více certifikačních autorit, které jsou hostovány v daném prostředí, ujistěte se, že se liší jejich odpovídajících adresářů sériové číslo. Nesdílet stejné adresáře mezi různými certifikačními autoritami. -
Spustit skript v počítači certifikačního úřadu a uložený soubor odeslat přidělením omezujících ACL. Soubor by neměl být upravitelné. Ujistěte se, že toto umístění přístup všechny počítače Microsoft Online respondéru.
Další informace o tomto postupu
Online respondér společnosti Microsoft vrátí hodnotu Neznámý u všech certifikátů, které byly vydány, ale ještě nebylo v souboru, který je vytvořen v kroku 6. Tento skript musí být spuštěn v pravidelných intervalech a aktualizována v pořadí pro Online respondér společnosti Microsoft poskytovat aktuální stav. Toto nastavení intervalu závisí na prostředí pro konkrétní nasazení. Doporučujeme vybrat vhodný interval od čtyř hodin další seznam CRL na hodnotu datum publikování.
Krok 2: registr
Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.
-
Ukončete všechny aplikace systému Windows.
-
Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
-
Vyhledejte a vyberte následující podklíč registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Klepněte na tlačítko certifikační úřad (CA), pro kterou jste vytvořili strukturu adresářů.
-
Klepněte pravým tlačítkem na Uzel poskytovatele, přejděte na příkaz Novýa potom klepněte na tlačítko Víceřetězcová hodnota.
-
Zadejte IssuedSerialNumbersDirectoriesa stiskněte klávesu Enter.
-
Klepněte pravým tlačítkem myši IssuedSerialNumbersDirectoriesa potom klepněte na příkaz změnit.
-
Do pole Údaj hodnoty zadejte cestu k adresáři, které jste vytvořili v kroku 3 postupu strukturu adresáře a obsahující vydané sériových čísel a potom klepněte na tlačítko OK.
Cestu k adresáři použijte následující formát:\\<computername>\<directorylocation>Například pomocí cesty, která se podobá následující:
\\contoso-ocspfileserver\SerialNumbers
-
V nabídce Soubor klepněte na tlačítko Ukončit k ukončení Editoru registru.
-
Nainstalujte balíček oprav hotfix, která je uvedena v tomto článku.
Po provedení "Adresářovou strukturu" a "Registr" kroky nainstalujte balíček opravy hotfix, která je uvedena v tomto článku.
Výsledky
Po instalaci opravy hotfix službu Online respondéru, proveďte následující kroky:
-
Vrátí hodnotu dobré pro certifikáty, které jsou ověřeny.
-
Vrátí hodnotu ODVOLANÉ certifikáty, které jsou zahrnuty v seznamu CRL
-
Vrátí hodnotu neznámé u všech certifikátů, které nelze ověřit
Informace o opravě hotfix
Podporovaná oprava hotfix je k dispozici z Microsoft Support. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Tuto opravu hotfix instalujte pouze do systémů, ve kterých dochází k potížím popsaným v tomto článku. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.
Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.
Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel Zákaznického servisu a podpory společnosti Microsoft naleznete na následujícím webu podpory společnosti Microsoft, kde také můžete vytvořit samostatný požadavek na služby:
http://support.microsoft.com/contactus/?ws=supportPoznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.
Předpoklady
Chcete-li nainstalovat tuto opravu hotfix, musí mít Service Pack 1 pro systém Windows 7 nebo Windows Server 2008 R2 nainstalována.
Požadavek na restartování
Po instalaci této opravy hotfix nemusíte restartovat počítač.
Informace o nahrazení opravy hotfix
Tato oprava hotfix nenahrazuje žádnou dříve vydanou opravu hotfix.
Angličtina (Spojené státy) verze této opravy hotfix nainstaluje soubory, jejichž atributy, které jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny dle vašeho místního času a také podle aktuálního letního času (DST). Navíc data a časy se mohou změnit při provádění některých operací se soubory.
Informace o souboru a poznámky systému Windows 7 a Windows Server 2008 R2Důležité: Opravy hotfix pro systém Windows 7 a Windows Server 2008 R2 opravy hotfix jsou součástí stejných balíčků. Opravy hotfix na stránce žádost o opravu Hotfix jsou však uvedeny pod oběma operačními systémy. Chcete-li požádat o balíček oprav hotfix, který se vztahuje k jednomu nebo oboum operačním systémům, vyberte opravu hotfix, která je uvedena na stránce v části "Windows 7/Windows Server 2008 R2". Vždy naleznete v části "Platí pro" v článcích určit skutečný operační systém, který se vztahuje na každou opravu hotfix.
-
Soubory týkající se konkrétního produktu, SR_Level (RTM, SPn) a služby (LDR, GDR) lze identifikovat porovnáním čísel verzí souborů podle následující tabulky.
Verze
Výrobek
SR_Level
Složka služby
6.1.760
1. 22xxxWindows 7 a Windows Server 2008 R2
SP1
LDR
-
Větve GDR obsahují pouze opravy, které byly veřejně vydány k adrese rozšířených velmi důležité problémů. Větve LDR obsahují kromě veřejně vydaných oprav i opravy hotfix.
-
Soubory MANIFEST (.manifest) a soubory MUM (.mum) instalované pro každé prostředí jsou uvedeny samostatně v části "Další informace o souborech pro systémy Windows 7 a Windows Server 2008 R2". MUM a MANIFEST soubory a soubory katalogu (CAT) přidružené zabezpečení, jsou velice důležité k udržení stavu aktualizované součásti. Soubory katalogu zabezpečení, pro něž nejsou uvedeny atributy, jsou podepsané digitálním podpisem společnosti Microsoft.
Pro všechny podporované verze x86 systému Windows 7
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
Požadavek na aktualizaci SP |
Složka služby |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Žádný |
Není k dispozici |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Pro všechny podporované verze systému Windows 7 a Windows Server 2008 R2 x64
|
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
Požadavek na aktualizaci SP |
Složka služby |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Žádný |
Není k dispozici |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Žádný |
Není k dispozici |
Další informace o souborech pro systém Windows 7 a Windows Server 2008 R2
Další soubory pro všechny podporované verze x86 systému Windows 7
|
Vlastnosti souboru |
Hodnota |
|---|---|
|
Název souboru |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
720 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Není k dispozici |
|
Název souboru |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
719 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Není k dispozici |
|
Název souboru |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
63,628 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
07:59 |
|
Platforma |
Není k dispozici |
|
Název souboru |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
11,236 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
08:00 |
|
Platforma |
Není k dispozici |
Další soubory pro všechny podporované verze systému Windows 7 a Windows Server 2008 R2 x64
|
Vlastnosti souboru |
Hodnota |
|---|---|
|
Název souboru |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
723 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
721 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
724 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
63,632 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
08:30 |
|
Platforma |
Není k dispozici |
|
Název souboru |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
11,240 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
08:30 |
|
Platforma |
Není k dispozici |
|
Název souboru |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Verze souboru |
Není k dispozici |
|
Velikost souboru |
63,628 |
|
Datum (čas UTC) |
30-May-2014 |
|
Čas (UTC) |
07:59 |
|
Platforma |
Není k dispozici |
Stav
Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".
Další informace
Tato oprava hotfix umožňuje změnu návrhu, která je na službu odezvy OCSP Microsoft vědomi všech certifikátů, které platí následující:
-
Jsou vystavené certifikačním úřadem.
-
Jejich nejsou odvolány.
-
Jsou v současné době doby platnosti.
Odkazy
Další informace o terminologii , kterou společnost Microsoft používá k popisu aktualizací softwaru.
