Beschreibung der Änderung zu den Netzwerkabruf von PKI-Objekten in Windows Vista Service Pack 1 und Windows Server 2008

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows

Zusammenfassung

Während des Zertifikatpfads Windows Vista Service Pack 1 (SP1) und Windows Server 2008 möglicherweise Objekte wie Zertifikate abrufen und Zertifikatssperrlisten (CRLs) aus dem Netzwerk. Windows Vista SP1 und Windows Server 2008 unterstützen diese Netzwerkabruf-Funktionen mit das Dateiprotokoll, das HTTP-Protokoll und das LDAP-Protokoll.

Standardmäßig ist das Dateiprotokoll für den Netzwerkabruf von public Key-Infrastruktur (PKI)-Objekten deaktiviert, um Sicherheit während der Netzwerkabrufprozess. Darüber hinaus ist der Netzwerkabrufprozess, das LDAP-Protokoll bzw. das HTTP-Protokoll verwendet in Windows Vista SP1 und Windows Server 2008 geändert. Weitere Informationen hierzu finden Sie im Abschnitt "Weitere Informationen".

Weitere Informationen

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Hinweis Zertifizierungsstellen noch können Universal Naming Convention (UNC) Pfade CRLs Netzwerkspeicherorten veröffentlichen. Dies kann hilfreich sein, wenn die Netzwerkadressen als virtuelle Verzeichnisse für Web, auf CRLs über HTTP Zugriff genutzt werden.

Änderung der Netzwerkabrufprozess, die das Dateiprotokoll

Standardmäßig ist der Netzwerkabrufprozess, die das Dateiprotokoll für Zertifikate betreffende Vorgänge deaktiviert. Gehen folgendermaßen Sie vor, um diese Funktion zu aktivieren:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Hinweis 32-Bit-Programme auf 64-Bit-Plattformen suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie dann auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. ConfigMaustaste, zeigen Sie auf neuund klicken Sie dann auf DWORD-Wert.
  4. Geben Sie AllowFileUrlScheme, und drücken Sie dann die EINGABETASTE.
  5. Klicken Sie AllowFileUrlSchemeund dann auf Ändern.
  6. Geben Sie im Feld Wert 0 x 01, und klicken Sie auf OK.
  7. Klicken Sie im Menü Datei auf Beenden.
Dadurch wird der Computer dem Verhalten von Windows XP Service Pack 2 (SP2) von Windows Server 2003 SP1 und der Releaseversion von Windows Vista zurückgesetzt.

Änderung der Netzwerkabrufprozess, die das LDAP-Protokoll verwendet

PKI-Client in Windows Vista SP1 und Windows Server 2008 standardmäßig signiert und verschlüsselt alle LDAP-Verkehr für PKI-Objekte. Darüber hinaus wird Authentifizierung nur für den Netzwerkabruf erforderlich ist, Kerberos-Authentifizierung ausgeführt. Möchten Sie zu Testzwecken, deaktivieren Sie die Funktionalität in Windows Vista SP1 und Windows Server 2008, die signiert und Verschlüsseln des LDAP-Datenverkehr. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Hinweis 32-Bit-Programme auf 64-Bit-Plattformen suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie dann auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. ConfigMaustaste, zeigen Sie auf neuund klicken Sie dann auf DWORD-Wert.
  4. Geben Sie DisableLDAPSignAndEncrypt, und drücken Sie dann die EINGABETASTE.
  5. Klicken Sie DisableLDAPSignAndEncryptund dann auf Ändern.
  6. Geben Sie im Feld Wert 0 x 01, und klicken Sie auf OK.
  7. Klicken Sie im Menü Datei auf Beenden.
Nach dieser Einstellung werden entweder NTLM- oder Kerberos-Anmeldeinformationen für die Authentifizierung verwendet. Darüber hinaus werden Zeichen -Flag und das Verschlüsselungsflag LDAP-Anfragen nicht festgelegt. Dadurch wird der Computer dem Verhalten von Windows XP SP2, Windows Server 2003 SP1 und der Releaseversion von Windows Vista zurückgesetzt.

Änderung der Netzwerkabrufprozess, das HTTP-Protokoll

Im PKI-Client in Windows Vista SP1 und Windows Server 2008 führt der Netzwerkabrufprozess, das HTTP-Protokoll Authentifizierung nur für die Proxies, die lokal konfiguriert sind. Authentifizierung hängt die Fehlermeldung vom Proxy zurückgegeben wird. Wenn der Proxy die folgende Fehlermeldung zurückgegeben wird, erfolgt die Authentifizierung:
HTTP 407: Proxyauthentifizierung erforderlich
Wenn der Proxy die folgende Fehlermeldung zurückgibt, wird keine Authentifizierung durchgeführt:
HTTP-Fehler 401: Zugriff verweigert
Hinweis Wenn Proxyauthentifizierung erforderlich ist, werden Kerberos-Authentifizierung und NTLM-Authentifizierung durchgeführt.

Wenn Sie dieses Standardverhalten ändern möchten, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    Hinweis 32-Bit-Programme auf 64-Bit-Plattformen suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie dann auf:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. ConfigMaustaste, zeigen Sie auf neuund klicken Sie dann auf DWORD-Wert.
  4. Geben Sie EnableInetUnknownAuth, und drücken Sie dann die EINGABETASTE.
  5. Klicken Sie EnableInetUnknownAuthund dann auf Ändern.
  6. Geben Sie im Feld Wert 0 x 01, und klicken Sie auf OK.
  7. Klicken Sie im Menü Datei auf Beenden.
Nach dieser Einstellung die Authentifizierung durchgeführt, wenn der Proxy eine "HTTP 401" gibt Fehlermeldung. Dadurch wird der Computer dem Verhalten von Windows XP SP2, Windows Server 2003 SP1 und der Releaseversion von Windows Vista zurückgesetzt.
Eigenschaften

Artikelnummer: 946401 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback