Příznaky

Jde o takovouto situaci:

  • Máte nainstalován na serveru se systémem Windows Server 2008 R2 nebo Windows Server 2012 R2 služby Microsoft Online respondéru.

  • Server se používá ke konfiguraci a správě Online Certificate Status Protocol (OCSP) ověřování.


V tomto scénáři služba Online respondéru nevrací deterministický hodnota platná pro všechny certifikáty, které nejsou zahrnuty v seznamu odvolaných certifikátů (CRL).

Příčina

K tomuto problému dochází, protože protokolu OCSP neověřuje se zdrojem potvrzené, že certifikát byl vydán ve skutečnosti jeho odpovídající certifikační autoritou. Místo toho pokud certifikát není součástí seznamu CRL, služba Online respondéru se předpokládá, že certifikát je platný a vrátí hodnotu zboží.

Řešení

Chcete-li vyřešit tento problém ve Windows 8.1 nebo Windows Server 2012 R2, nainstalujte aktualizaci 2967917. Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

2967917 července 2014 kumulativní aktualizace pro Windows RT 8.1, Windows 8.1 a Windows Server 2012 R2
Chcete-li vyřešit tento problém v systému Windows 7 nebo Windows Server 2008 R2, nainstalujte opravu hotfix, která je popsána v části "Informace o opravě Hotfix" v tomto článku.

Před instalací této opravy hotfix je nutné nakonfigurovat službu protokolu OCSP ke čtení sériových čísel, které jsou vydávány certifikačním úřadem. Chcete-li to provést, postupujte podle kroků v této části, chcete-li vytvořit umístění adresáře, ve kterém chcete uložit soubory sériové číslo a k vytvoření klíče registru, které odkazují na tento adresář.

Poznámky

  • Adresář můžete umístěné ve sdílené síťové složce nebo na místním počítači. Nastavení konfigurace pole doporučujeme umístit adresář ve sdílené síťové složce, tak, aby všechny členy pole může mít "čtení" přístup k němu.

  • Bez ohledu na to, kde je umístěn v adresáři Ujistěte se, zda má služba OCSP do adresáře oprávnění čtení. Nastavení registru se nevztahují na všechny Microsoft Online respondérů, které nejsou opravené touto opravou hotfix.

Konfigurace služby protokolu OCSP

Spusťte následující kroky v počítači certifikační úřad, které jste nakonfigurovali službu protokolu OCSP.

Krok 1: Adresářové struktury

  1. Spusťte program Poznámkový blok a vložte následující ukázkový skript do nového dokumentu:

    param(    [ValidateScript({Test-Path $_})]
    [String] $Path
    )
    pushd $Path
    dir | foreach {
    remove-item $_ -force
    }
    certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
    New-Item -type File $matches[1] | out-null
    }
    }
    popd
  2. Uložte nový dokument jako Certs.ps1.

  3. Vytvořte adresář, ve kterém mají být uloženy prázdné soubory, které odpovídají všechna sériová čísla vydaných.

  4. Spusťte skript Certs.ps1. Chcete-li to provést, spusťte v prostředí Windows PowerShell následující příkaz:

    Certs.ps1 < umístění adresáře vytvořené v kroku 3 >

  5. Zkontrolujte adresář, který jste vytvořili v kroku 3 a ujistěte se, zda soubory odpovídají vydané sériová čísla.

    Poznámka: Pokud máte více certifikačních autorit, které jsou hostovány v daném prostředí, ujistěte se, že se liší jejich odpovídajících adresářů sériové číslo. Nesdílet stejné adresáře mezi různými certifikačními autoritami.

  6. Spustit skript v počítači certifikačního úřadu a uložený soubor odeslat přidělením omezujících ACL. Soubor by neměl být upravitelné. Ujistěte se, že toto umístění přístup všechny počítače Microsoft Online respondéru.

Další informace o tomto postupu

Online respondér společnosti Microsoft vrátí hodnotu Neznámý u všech certifikátů, které byly vydány, ale ještě nebylo v souboru, který je vytvořen v kroku 6. Tento skript musí být spuštěn v pravidelných intervalech a aktualizována v pořadí pro Online respondér společnosti Microsoft poskytovat aktuální stav. Toto nastavení intervalu závisí na prostředí pro konkrétní nasazení. Doporučujeme vybrat vhodný interval od čtyř hodin další seznam CRL na hodnotu datum publikování.

Krok 2: registr

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

  1. Ukončete všechny aplikace systému Windows.

  2. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.

  3. Vyhledejte a vyberte následující podklíč registru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder

  4. Klepněte na tlačítko certifikační úřad (CA), pro kterou jste vytvořili strukturu adresářů.

  5. Klepněte pravým tlačítkem na Uzel poskytovatele, přejděte na příkaz Novýa potom klepněte na tlačítko Víceřetězcová hodnota.

  6. Zadejte IssuedSerialNumbersDirectoriesa stiskněte klávesu Enter.

  7. Klepněte pravým tlačítkem myši IssuedSerialNumbersDirectoriesa potom klepněte na příkaz změnit.

  8. Do pole Údaj hodnoty zadejte cestu k adresáři, které jste vytvořili v kroku 3 postupu strukturu adresáře a obsahující vydané sériových čísel a potom klepněte na tlačítko OK.

    Cestu k adresáři použijte následující formát:


    \\<computername>\<directorylocation>Například pomocí cesty, která se podobá následující:


    \\contoso-ocspfileserver\SerialNumbers

  9. V nabídce Soubor klepněte na tlačítko Ukončit k ukončení Editoru registru.

  10. Nainstalujte balíček oprav hotfix, která je uvedena v tomto článku.

Po provedení "Adresářovou strukturu" a "Registr" kroky nainstalujte balíček opravy hotfix, která je uvedena v tomto článku.

Výsledky

Po instalaci opravy hotfix službu Online respondéru, proveďte následující kroky:

  • Vrátí hodnotu dobré pro certifikáty, které jsou ověřeny.

  • Vrátí hodnotu ODVOLANÉ certifikáty, které jsou zahrnuty v seznamu CRL

  • Vrátí hodnotu neznámé u všech certifikátů, které nelze ověřit

Informace o opravě hotfix

Podporovaná oprava hotfix je k dispozici z Microsoft Support. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Tuto opravu hotfix instalujte pouze do systémů, ve kterých dochází k potížím popsaným v tomto článku. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel Zákaznického servisu a podpory společnosti Microsoft naleznete na následujícím webu podpory společnosti Microsoft, kde také můžete vytvořit samostatný požadavek na služby:

http://support.microsoft.com/contactus/?ws=supportPoznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.

Předpoklady

Chcete-li nainstalovat tuto opravu hotfix, musí mít Service Pack 1 pro systém Windows 7 nebo Windows Server 2008 R2 nainstalována.

Požadavek na restartování

Po instalaci této opravy hotfix nemusíte restartovat počítač.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje žádnou dříve vydanou opravu hotfix.

Angličtina (Spojené státy) verze této opravy hotfix nainstaluje soubory, jejichž atributy, které jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny dle vašeho místního času a také podle aktuálního letního času (DST). Navíc data a časy se mohou změnit při provádění některých operací se soubory.

Informace o souboru a poznámky systému Windows 7 a Windows Server 2008 R2Důležité: Opravy hotfix pro systém Windows 7 a Windows Server 2008 R2 opravy hotfix jsou součástí stejných balíčků. Opravy hotfix na stránce žádost o opravu Hotfix jsou však uvedeny pod oběma operačními systémy. Chcete-li požádat o balíček oprav hotfix, který se vztahuje k jednomu nebo oboum operačním systémům, vyberte opravu hotfix, která je uvedena na stránce v části "Windows 7/Windows Server 2008 R2". Vždy naleznete v části "Platí pro" v článcích určit skutečný operační systém, který se vztahuje na každou opravu hotfix.

  • Soubory týkající se konkrétního produktu, SR_Level (RTM, SPn) a služby (LDR, GDR) lze identifikovat porovnáním čísel verzí souborů podle následující tabulky.

    Verze

    Výrobek

    SR_Level

    Složka služby

    6.1.760
    1. 22xxx

    Windows 7 a Windows Server 2008 R2

    SP1

    LDR

  • Větve GDR obsahují pouze opravy, které byly veřejně vydány k adrese rozšířených velmi důležité problémů. Větve LDR obsahují kromě veřejně vydaných oprav i opravy hotfix.

  • Soubory MANIFEST (.manifest) a soubory MUM (.mum) instalované pro každé prostředí jsou uvedeny samostatně v části "Další informace o souborech pro systémy Windows 7 a Windows Server 2008 R2". MUM a MANIFEST soubory a soubory katalogu (CAT) přidružené zabezpečení, jsou velice důležité k udržení stavu aktualizované součásti. Soubory katalogu zabezpečení, pro něž nejsou uvedeny atributy, jsou podepsané digitálním podpisem společnosti Microsoft.

Pro všechny podporované verze x86 systému Windows 7

Název souboru

Verze souboru

Velikost souboru

Datum

Čas

Platforma

Požadavek na aktualizaci SP

Složka služby

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Žádný

Není k dispozici

Ocsprevp.dll

6.1.7601.22705

151,552

30-May-2014

07:35

x86

SPR

X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

Pro všechny podporované verze systému Windows 7 a Windows Server 2008 R2 x64

Název souboru

Verze souboru

Velikost souboru

Datum

Čas

Platforma

Požadavek na aktualizaci SP

Složka služby

Certadm.dll

6.1.7601.22705

419,840

30-May-2014

08:00

x64

Žádný

Není k dispozici

Ocsprevp.dll

6.1.7601.22705

184,832

30-May-2014

08:00

x64

SPR

AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Žádný

Není k dispozici

Další informace o souborech pro systém Windows 7 a Windows Server 2008 R2

Další soubory pro všechny podporované verze x86 systému Windows 7

Vlastnosti souboru

Hodnota

Název souboru

X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest

Verze souboru

Není k dispozici

Velikost souboru

720

Datum (čas UTC)

30-May-2014

Čas (UTC)

13:22

Platforma

Není k dispozici

Název souboru

X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest

Verze souboru

Není k dispozici

Velikost souboru

719

Datum (čas UTC)

30-May-2014

Čas (UTC)

13:22

Platforma

Není k dispozici

Název souboru

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Verze souboru

Není k dispozici

Velikost souboru

63,628

Datum (čas UTC)

30-May-2014

Čas (UTC)

07:59

Platforma

Není k dispozici

Název souboru

X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest

Verze souboru

Není k dispozici

Velikost souboru

11,236

Datum (čas UTC)

30-May-2014

Čas (UTC)

08:00

Platforma

Není k dispozici

Další soubory pro všechny podporované verze systému Windows 7 a Windows Server 2008 R2 x64

Vlastnosti souboru

Hodnota

Název souboru

Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest

Verze souboru

Není k dispozici

Velikost souboru

723

Datum (čas UTC)

30-May-2014

Čas (UTC)

13:22

Platforma

Není k dispozici

Název souboru

Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest

Verze souboru

Není k dispozici

Velikost souboru

721

Datum (čas UTC)

30-May-2014

Čas (UTC)

13:22

Platforma

Není k dispozici

Název souboru

Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest

Verze souboru

Není k dispozici

Velikost souboru

724

Datum (čas UTC)

30-May-2014

Čas (UTC)

13:22

Platforma

Není k dispozici

Název souboru

Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest

Verze souboru

Není k dispozici

Velikost souboru

63,632

Datum (čas UTC)

30-May-2014

Čas (UTC)

08:30

Platforma

Není k dispozici

Název souboru

Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest

Verze souboru

Není k dispozici

Velikost souboru

11,240

Datum (čas UTC)

30-May-2014

Čas (UTC)

08:30

Platforma

Není k dispozici

Název souboru

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Verze souboru

Není k dispozici

Velikost souboru

63,628

Datum (čas UTC)

30-May-2014

Čas (UTC)

07:59

Platforma

Není k dispozici


Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".

Další informace

Tato oprava hotfix umožňuje změnu návrhu, která je na službu odezvy OCSP Microsoft vědomi všech certifikátů, které platí následující:

  • Jsou vystavené certifikačním úřadem.

  • Jejich nejsou odvolány.

  • Jsou v současné době doby platnosti.

Odkazy

Další informace o terminologii , kterou společnost Microsoft používá k popisu aktualizací softwaru.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×