Problembeschreibung
Betrachten Sie das folgende Szenario:
-
Sie haben den Microsoft Online-Responder-Dienst auf einem Server mit Windows Server 2008 R2 oder Windows Server 2012 R2 installiert.
-
Der Server ist zum Konfigurieren und Verwalten der Überprüfung Online Certificate Status-Protokoll (OCSP) verwendet.
In diesem Szenario gibt der Online-Responder-Dienst nicht deterministischen Wert für alle Zertifikate, die nicht in die Zertifikate Zertifikatwiderrufsliste (CRL) zurück.
Ursache
Dieses Problem tritt auf, weil die OCSP nicht mit bestätigt wird, ob das Zertifikat tatsächlich von der entsprechenden Zertifizierungsstelle ausgestellt wurde. Wenn ein Zertifikat nicht in der Sperrliste enthalten ist, nimmt der Online-Responder-Dienst stattdessen, dass das Zertifikat gültig und zurück zu gut.
Problemlösung
Installieren Sie zum Beheben dieses Problems in Windows 8.1 oder Windows Server 2012 R2 Update 2967917. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
2967917 Juli 2014 Updaterollup für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2
Installieren Sie zum Beheben dieses Problems in Windows 7 oder Windows Server 2008 R2 im Abschnitt "Hotfix-Informationen" in diesem Artikel beschriebenen Hotfix.
Bevor Sie diesen Hotfix installieren, müssen Sie konfigurieren OCSP-Service um Seriennummern zu lesen, die von der Zertifizierungsstelle ausgestellt werden. Dazu führen Sie die Schritte in diesem Abschnitt erstellen Sie ein Verzeichnis der Seriennummer Dateien und Registrierungsschlüssel zu erstellen, die auf dieses Verzeichnis.
Hinweise
-
Das Verzeichnis befindet sich auf einer Netzwerkfreigabe oder auf einem lokalen Computer gehostet. Einrichten einer Arraykonfiguration sollten das Verzeichnis auf einer Netzwerkfreigabe hosten, sodass alle Arraymitglieder "auf lesen können".
-
Unabhängig davon, wo sich das Verzeichnis befindet sicher, dass der OCSP-Dienst die Leseberechtigung für das Verzeichnis verfügt. Die Registrierungseinträge gelten nicht für alle Microsoft-Online-Responder, die von diesem Hotfix nicht geändert werden.
OCSP-Dienst konfigurieren
Führen Sie die folgenden Schritte auf Zertifizierungsstelle Computer für den OCSP-Service konfiguriert haben.
Schritt 1: Verzeichnisstruktur
-
Starten Sie Editor, und fügen Sie das folgende Beispielskript in ein neues Dokument:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Speichern Sie das neue Dokument als Certs.ps1.
-
Erstellen Sie ein Verzeichnis in dem leeren, die alle ausgestellten Seriennummern entsprechen, Dateien gespeichert werden.
-
Führen Sie das Skript Certs.ps1. Führen Sie hierzu den folgenden Befehl in Windows PowerShell:
Certs.ps1 < in Schritt 3 erstellte Verzeichnis >
-
Überprüfen Sie das Verzeichnis in Schritt 3, um sicherzustellen, dass die ausgestellten Seriennummern Dateien entsprechen.
Hinweis Haben Sie mehrere CAs in Ihrer Umgebung gehostet stellen Sie sicher, dass die entsprechenden Verzeichnisse Seriennummer unterscheiden. Teilen Sie nicht dasselbe Verzeichnis zwischen verschiedenen Zertifizierungsstellen. -
Führen Sie das Skript auf dem Zertifizierungsstellencomputer und Hochladen der Datei mit eingeschränkten ACLs. Die Datei sollte nicht bearbeitet werden. Stellen Sie sicher, dass alle Computer die Microsoft Online-Responder auf diesen Speicherort zugreifen können.
Weitere Informationen zu diesem Verfahren
Microsoft Online-Responder gibt einen Wert von UNKNOWN für alle Zertifikate, die ausgestellt wurden noch nicht in der in Schritt 6 erstellten Datei. Dieses Skript muss in regelmäßigen Abständen ausgeführt und in Reihenfolge für Microsoft Online-Responder zu aktuellen Status aktualisiert. Diese Einstellung hängt von der jeweiligen bereitstellungsumgebung. Es wird empfohlen, ein geeignetes Intervall zwischen vier Stunden und der Wert die Veröffentlichung.
Schritt 2: Registrierung
Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.
-
Beenden Sie alle Windows-Programme.
-
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
-
Suchen und wählen Sie dann den folgenden Registrierungsunterschlüssel aus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Klicken Sie auf der Zertifizierungsstelle (CA) für die Verzeichnisstruktur erstellt.
-
Maustaste auf Anbieter Knoten, zeigen Sie auf neu, und klicken Sie auf Wert der mehrteiligen Zeichenfolge.
-
Geben Sie IssuedSerialNumbersDirectoriesund drücken Sie dann die EINGABETASTE.
-
Maustaste auf IssuedSerialNumbersDirectories, und klicken Sie auf Ändern.
-
Geben Sie im Feld Wert den Pfad zu dem Verzeichnis in Schritt 3 Verzeichnis-Struktur erstellt, enthält die ausgestellten Seriennummern und klicken Sie dann auf OK.
Verwenden Sie für den Verzeichnispfad Folgendes Format:\\<computername>\<directorylocation>Verwenden Sie beispielsweise einen Pfad, der dem folgenden ähnelt:
\\contoso-ocspfileserver\SerialNumbers
-
Klicken Sie im Menü Datei auf Beenden, um den Registrierungseditor zu beenden.
-
Installieren Sie das Hotfix-Paket, das genannt wird in diesem Artikel.
Nach dem "Directory Structure" und "Registrierung" Schritte befolgen, installieren Sie des Hotfix-Pakets, das genannt wird in diesem Artikel.
Ergebnisse
Nach Installation des Hotfixes sollten Online-Responder-Dienst:
-
Rückgabewert eines funktionierenden für Zertifikate überprüft werden
-
Rückgabewert gesperrt für Zertifikate, die in der Sperrliste enthalten sind
-
Rückgabewert unbekannt für alle Zertifikate, die nicht überprüft werden kann
Hotfix-Informationen
Ein unterstützter Hotfix steht von Microsoft Support zur Verfügung Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.
Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.
Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder um eine separate Serviceanfrage zu erstellen, gehen Sie zu der folgenden Microsoft-Website:
http://support.microsoft.com/contactus/?ws=supportHinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.
Voraussetzungen
Um diesen Hotfix anwenden zu können, müssen Sie Service Pack 1 für Windows 7 oder Windows Server 2008 R2 installiert.
Neustartanforderung
Sie müssen keinen Neustart des Computers nach der Installation dieses Hotfixes durchführen.
Informationen zu ersetzten Hotfixes
Dieser Hotfix ersetzt keinen zuvor veröffentlichten Hotfix.
Die US-englische Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit mit dem aktuellen Sommerzeit-Zeitunterschied (DST) angezeigt. Darüber hinaus können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen auf die Dateien anwenden.
Dateiinformationen und Hinweise für Windows 7 und Windows Server 2008 R2Wichtig Hotfixes für Windows 7 und Windows Server 2008 R2 sind in denselben Paketen enthalten. Allerdings werden Hotfixes auf der Hotfix-Anforderungsseite unter beiden Betriebssystemen aufgelistet. Um das Hotfix-Paket anzufordern, das auf eine oder beide Betriebssysteme angewendet kann, wählen Sie den Hotfix aus, der auf der Seite unter "Windows 7/Windows Server 2008 R2" aufgeführt ist. Beachten Sie im Abschnitt "Gilt für" im Artikel, um das aktuelle Betriebssystem zu bestimmen, dem die einzelnen Hotfixes gelten.
-
Dateien, die für ein bestimmtes Produkt SR_Level (RTM, SPn) und Servicebereiche (LDR, GDR) erkennen anhand der Versionsnummern wie in der folgenden Tabelle dargestellt.
Version
Produkt
SR_Level
Service Branch
6.1.760
1. 22xxxWindows 7 und Windows Server 2008 R2
SP1
LDR
-
GDR-Servicebereiche enthalten nur freigegebene Korrekturen für weit verbreitete, äußerst wichtige Probleme. LDR-Servicebereiche enthalten Hotfixes zusätzlich zu den auf breiter Basis veröffentlichten Korrekturen.
-
Die MANIFEST-Dateien (. manifest) und MUM-Dateien, die für jede Umgebung installiert werden, sind im Abschnitt "Weitere Dateiinformationen für Windows 7 und Windows Server 2008 R2" separat aufgeführt . MUM- und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind sehr wichtig, den Status der aktualisierten Komponenten verwalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.
Für alle unterstützten x86-basierten Versionen von Windows 7
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
SP-Anforderung |
Service Branch |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Keine |
Nicht zutreffend |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Für alle unterstützten x64-basierten Versionen von Windows 7 und Windows Server 2008 R2
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
SP-Anforderung |
Service Branch |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Keine |
Nicht zutreffend |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Keine |
Nicht zutreffend |
Weitere Dateiinformationen für Windows 7 und Windows Server 2008 R2
Weitere Dateien für alle unterstützten x86-basierten Versionen von Windows 7
|
Dateieigenschaft |
Wert |
|---|---|
|
Dateiname |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
720 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
13:22 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
719 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
13:22 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
63,628 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
07:59 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
11.236 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
08:00 |
|
Plattform |
Nicht zutreffend |
Weitere Dateien für alle unterstützten x64-basierten Versionen von Windows 7 und Windows Server 2008 R2
|
Dateieigenschaft |
Wert |
|---|---|
|
Dateiname |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
723 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
13:22 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
721 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
13:22 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
724 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
13:22 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
63,632 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
08:30 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
11240 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
08:30 |
|
Plattform |
Nicht zutreffend |
|
Dateiname |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Dateiversion |
Nicht zutreffend |
|
Dateigröße |
63,628 |
|
Datum (UTC) |
30-May-2014 |
|
Zeit (UTC) |
07:59 |
|
Plattform |
Nicht zutreffend |
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.
Weitere Informationen
Dieser Hotfix enthält eine Designänderung, die Microsoft OCSP-Responder alle Zertifikate über macht über die Folgendes zutrifft:
-
Sie werden von der Zertifizierungsstelle ausgestellt.
-
Sie werden nicht gesperrt.
-
Sie sind zurzeit in eigene Gültigkeitsdauer.
Referenzen
Informationen Sie zur Terminologie , die Microsoft-Softwareupdates verwendet.
