Hinweise zum Sicherheits- und Qualitätsrollup für .NET Framework 3.5 Service Pack 1 für Windows 8.1 und Windows Server 2012 R2: 9. Mai 2017

Warnung

Die unsachgemäße Verwendung des Registrierungs-Editors oder einer anderen Methode kann schwerwiegende Probleme verursachen. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungs-Editors herrühren, behoben werden können. Änderungen in der Registrierung geschehen auf eigene Verantwortung.

• Erweiterte Schlüsselverwendung (EKU) wird in RFC 5280 in Abschnitt 4.2.1.12 beschrieben: Diese Erweiterung zeigt einen oder mehrere Verwendungszwecke des zertifizierten öffentlichen Schlüssels neben den beziehungsweise anstatt der grundlegenden Verwendungszwecke, die in der Schlüsselverwendungserweiterung angegeben sind. Beispielsweise muss ein Zertifikat, das für die Authentifizierung eines Clients gegenüber einem Server verwendet wird, für die Clientauthentifizierung konfiguriert sein. In ähnlicher Weise muss ein Zertifikat, das für die Authentifizierung eines Servers verwendet wird, für die Serverauthentifizierung konfiguriert sein.
  
  Wenn Zertifikate zur Authentifizierung verwendet werden, überprüft der Authentikator das Clientzertifikat und sucht in Anwendungsrichtlinienerweiterungen nach dem richtigen Objektbezeichner für den Zweck. Der Objektbezeichner für „Clientauthentifizierung“ beispielsweise lautet „1.3.6.1.5.5.7.3.2“. Wenn ein Zertifikat für die Clientauthentifizierung verwendet wird, muss dieser Objektbezeichner in den EKU-Erweiterungen des Zertifikats vorhanden sein. Andernfalls schlägt die Authentifizierung fehl. Bei Zertifikaten ohne EKU-Erweiterung erfolgt die Authentifizierung weiterhin korrekt.
  
  Sollten Sie auf erneut ausgestellte Zertifikate vorübergehend nicht korrekt zugreifen können, können Sie die Sicherheitsänderung für alle Computervorgänge aktivieren oder deaktivieren, um eine Beeinträchtigung der Konnektivität zu vermeiden. Geben Sie dazu je nachdem, auf welche .NET Framework-Version die Anwendung abzielt, die folgenden Registrierungsschlüsseleinstellungen an.
  
  Methode 1: Aktualisieren des Registrierungsschlüssels (verfügbar für alle Versionen)
  
  Hinweis Dieser Registrierungseintrag muss einen DWord-Eintrag enthalten.
  

  • Für 32-Bit-Prozesse auf 32-Bit-Systemen und 64-Bit-Prozesse auf 64-Bit-Systemen:
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  • Für 32-Bit-Prozesse auf 64-Bit-Systemen:
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  Sie können die Deaktivierung auch für einzelne Anwendungen vornehmen. Die folgenden Optionen stehen Ihnen zur Deaktivierung dieser Änderung zur Verfügung, damit die entsprechende Anwendungskompatibilität beibehalten wird.
  
  Methode 2: Deaktivieren der Richtlinie für einzelne Anwendungen
  
  Hinweis Dieser Registrierungseintrag muss einen DWord-Eintrag enthalten. Gültig ist nur der Wert 0. Jeder andere Wert wird ignoriert.

  • Für 32-Bit-Prozesse auf 32-Bit-Systemen und 64-Bit-Prozesse auf 64-Bit-Systemen:

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • Für 32-Bit-Prozesse auf 64-Bit-Systemen:

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  Methode 3: Verwenden der Konfigurations-API (verfügbar für .NET Framework 4.6 und höhere Versionen)
  
  Ab .NET Framework 4.6 können Sie die Konfiguration auf Anwendungsebene durch Code, eine Anwendungskonfiguration oder Registrierungsänderungen ändern.
  
  Konfigurieren der Option in .NET Framework 4.6
  
  Hinweis In den folgenden Beispielen wird die Sicherheitsfunktion deaktiviert.

  • Programmgesteuert
    
    Zunächst sollte die Anwendung den folgenden Code ausführen, weil der Dienststellen-Manager nur einmal initialisiert wird.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Anwendungskonfiguration
    
    Um die Anwendungskonfiguration zu ändern, fügen Sie den folgenden Eintrag hinzu:
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • Registrierungsschlüssel (computerübergreifend):
    

    Registrierungspfad: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    Typ: Zeichenfolge
    Wert: „true“

  Hinweis Standardmäßig gilt Switch.System.Net.DontCheckCertificateEKUsName = True für alle .NET Framework 4.x-Anwendungen, die in .NET Framework 4.6 und höheren Versionen ausgeführt werden.

• Weitere Informationen zu diesem Sicherheitsupdate für Windows 8.1 und Windows Server 2012 R2 finden Sie im folgenden Artikel in der Microsoft Knowledge Base:

  4019114 Sicherheits- und Qualitätsrollup für .NET Framework 3.5 Service Pack 1, 4.5.2, 4.6, 4.6.1 und 4.6.2 für Windows 8.1 und Windows Server 2012 R2: 9. Mai 2017