Συμβουλευτικό δελτίο ασφάλειας της Microsoft: Ενημέρωση για την ελάχιστη έκταση κλειδιού πιστοποιητικού

ΕΙΣΑΓΩΓΗ

Η Microsoft έχει κυκλοφορήσει ένα συμβουλευτικό δελτίο ασφαλείας για επαγγελματίες τεχνολογιών πληροφορικής. Αυτό το συμβουλευτικό δελτίο ανακοινώνει ότι η χρήση πιστοποιητικών RSA που περιέχουν κλειδιά με έκταση μικρότερη από 1024 bit θα αποκλειστεί. Για να προβάλετε το συμβουλευτικό δελτίο ασφάλειας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web: Για να περιορίσετε τον κίνδυνο της μη εξουσιοδοτημένης έκθεσης σε ευαίσθητες πληροφορίες, η Microsoft έχει κυκλοφορήσει μία ενημέρωση για θέματα που δεν αφορούν την ασφάλεια (KB 2661254) για όλες τις υποστηριζόμενες εκδόσεις των Microsoft Windows. Αυτή η ενημέρωση θα αποκλείσει κλειδιά κρυπτογράφησης με έκταση μικρότερη από 1024 bit. Αυτή η ενημέρωση δεν ισχύει για την έκδοση Windows 8 Release Preview ή την έκδοση Windows Server 2012 Release Candidate επειδή αυτά τα λειτουργικά συστήματα διαθέτουν ήδη τη λειτουργία αποκλεισμού της χρήσης αδύναμων κλειδιών RSA με έκταση μικρότερη από 1024 bit.

Περισσότερες πληροφορίες

Η ισχύς των κρυπτογραφικών αλγόριθμων που βασίζονται σε δημόσια κλειδιά καθορίζεται από την ώρα που απαιτείται για την παραγωγή του ιδιωτικού κλειδιού με τη χρήση μεθόδων επίθεσης επιβολής. Ο αλγόριθμος θεωρείται αρκετά ισχυρός όταν ο χρόνος που απαιτείται για την παραγωγή του ιδιωτικού κλειδιού είναι απαγορευτικός σε ικανοποιητικό βαθμό χρησιμοποιώντας τη διαθέσιμη υπολογιστική ισχύ. Το πεδίο απειλής εξακολουθεί να εξελίσσεται. Συνεπώς, η Microsoft καθιστά περισσότερο αυστηρά τα κριτήρια για τον αλγόριθμο RSA που περιέχει κλειδί με έκταση μικρότερη από 1024 bit.

Μετά την εφαρμογή της ενημέρωσης, επηρεάζονται μόνο οι αλληλουχίες πιστοποιητικών που έχουν δημιουργηθεί χρησιμοποιώντας τη λειτουργία CertGetCertificateChain. Το CryptoAPI δημιουργεί μια αλληλουχία αξιόπιστων πιστοποιητικών και επικυρώνει αυτήν την αλληλουχία χρησιμοποιώντας την εγκυρότητα του χρόνου, την ανάκληση πιστοποιητικών και τις πολιτικές πιστοποιητικών (όπως τις προβλεπόμενες χρήσεις). Η ενημέρωση εφαρμόζει έναν πρόσθετο έλεγχο για να διασφαλίσει ότι κανένα πιστοποιητικό στην αλληλουχία δεν διαθέτει έκταση κλειδιού RSA μικρότερη από 1024 bit.


Πληροφορίες αντικατάστασης ενημέρωσης

Αυτή η ενημέρωση αντικαθιστά την ακόλουθη:
2677070 Διατίθεται ένα πρόγραμμα αυτόματων ενημερώσεων για πιστοποιητικά που έχουν ανακληθεί για Windows Vista, Windows Server 2008, Windows 7 και Windows Server 2008 R2

Γνωστά ζητήματα με αυτήν την ενημέρωση ασφάλειας

Μετά την εφαρμογή της ενημέρωσης:
 • Απαιτείται επανεκκίνηση.
 • Μια αρχή έκδοσης πιστοποιητικών (CA) δεν μπορεί να εκδώσει πιστοποιητικά RSA με έκταση κλειδιού μικρότερη από 1024 bit.
 • Δεν είναι δυνατή η εκκίνηση μιας υπηρεσίας αρχής έκδοσης πιστοποιητικών (certsvc) όταν η αρχή έκδοσης πιστοποιητικών χρησιμοποιεί ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit.
 • Ο Internet Explorer δεν θα επιτρέψει την πρόσβαση σε έναν ιστότοπο που ασφαλίζεται χρησιμοποιώντας ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit.
 • Το Outlook 2010 δεν μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου εάν χρησιμοποιεί ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit. Ωστόσο, τα μηνύματα ηλεκτρονικού ταχυδρομείου που έχουν κρυπτογραφηθεί ήδη χρησιμοποιώντας ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit μπορούν να αποκρυπτογραφηθούν μετά την εγκατάσταση της ενημέρωσης.
 • Το Outlook 2010 δεν μπορεί να χρησιμοποιηθεί για την κρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου εάν χρησιμοποιεί ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit.
 • Όταν λαμβάνονται μηνύματα ηλεκτρονικού ταχυδρομείου στο Outlook 2010 που διαθέτουν ψηφιακή υπογραφή ή είναι κρυπτογραφημένα χρησιμοποιώντας ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit, ο χρήστης λαμβάνει ένα μήνυμα σφάλματος που δηλώνει ότι το πιστοποιητικό δεν είναι αξιόπιστο. Ο χρήστης εξακολουθεί να έχει τη δυνατότητα να προβάλει το κρυπτογραφημένο ή υπογεγραμμένο μήνυμα ηλεκτρονικού ταχυδρομείου.
 • Το Outlook 2010 δεν μπορεί να συνδεθεί σε έναν Microsoft Exchange server που χρησιμοποιεί πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit για SSL/TLS. Εμφανίζεται το ακόλουθο σφάλμα: "Δεν είναι δυνατή η προβολή ή η αλλαγή των πληροφοριών που ανταλλάσσετε με αυτήν την τοποθεσία από άλλους. Ωστόσο, υπάρχει ένα πρόβλημα με το πιστοποιητικό ασφαλείας της τοποθεσίας. Το πιστοποιητικό ασφαλείας δεν είναι έγκυρο. Η τοποθεσία δεν είναι αξιόπιστη".
 • Έχουν αναφερθεί προειδοποιήσεις ασφαλείας "Άγνωστος εκδότης", αλλά μπορεί να συνεχιστεί η εγκατάσταση στις ακόλουθες περιπτώσεις:
  • Παρουσιάστηκαν υπογραφές Authenticode με χρονική σήμανση την 1η Ιανουαρίου 2010 ή μεταγενέστερα οι οποίες υπογράφηκαν με ένα πιστοποιητικό χρησιμοποιώντας πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit.
  • Υπογεγραμμένα προγράμματα εγκατάστασης που υπογράφονται χρησιμοποιώντας ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit.
  • Στοιχεία ελέγχου ActiveX που υπογράφονται χρησιμοποιώντας ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit. Τα στοιχεία ελέγχου Active X που είναι ήδη εγκατεστημένα πριν να εγκαταστήσετε αυτήν την ενημέρωση δεν θα επηρεαστούν.
 • Οι υπολογιστές System Center HP-UX PA-RISC που χρησιμοποιούν πιστοποιητικό RSA με έκταση κλειδιού 512 bit θα αποστείλουν παλμικές ειδοποιήσεις και όλες οι λειτουργίες εποπτείας Operations Manager των υπολογιστών θα αποτύχουν. Θα εμφανιστεί επίσης ένα "σφάλμα πιστοποιητικού SSL" με την περιγραφή "επαλήθευση υπογεγραμμένου πιστοποιητικού". Επίσης, η λειτουργία Operations Manager δεν θα ανακαλύψει νέους υπολογιστές HP-UX PA-RISC λόγω του σφάλματος "Επαλήθευση υπογεγραμμένων πιστοποιητικών". Συνιστάται στους πελάτες System Center που διαθέτουν υπολογιστές HP-UX PA-RISC να επανεκδώσουν πιστοποιητικά RSA με έκταση κλειδιού μικρότερη από 1024 bit. Για περισσότερες πληροφορίες, ανατρέξτε στην εξής ιστοσελίδα της TechNet:
Σημείωση Η κρυπτογράφηση EFS δεν επηρεάζεται από αυτήν την ενημέρωση.

Ανακαλύψτε τα πιστοποιητικά RSA με έκταση κλειδιού μικρότερη από 1024 bit

Υπάρχουν τέσσερεις βασικές μέθοδοι για να διαπιστώσετε εάν χρησιμοποιούνται πιστοποιητικά RSA με έκταση κλειδιού μικρότερη από 1024 bit:
 • Έλεγχος των πιστοποιητικών και των διαδρομών πιστοποίησης με μη αυτόματο τρόπο
 • Χρήση καταγραφής CAPI2
 • Έλεγχος προτύπων πιστοποιητικών
 • Ενεργοποίηση καταγραφής σε υπολογιστές που έχουν εγκατεστημένη την ενημέρωση

Έλεγχος των πιστοποιητικών και των διαδρομών πιστοποίησης με μη αυτόματο τρόπο

Μπορείτε να ελέγξετε τα πιστοποιητικά με μη αυτόματο τρόπο ανοίγοντάς τα και προβάλλοντας τον τύπο, την έκταση κλειδιού και τη διαδρομή πιστοποίησής τους. Μπορείτε να το κάνετε αυτό προβάλλοντας (συνήθως κάνοντας διπλό κλικ) οποιοδήποτε πιστοποιητικό που εκδόθηκε εσωτερικά. Στην καρτέλα Διαδρομή πιστοποίησης, κάντε κλικ στο στοιχείο Προβολή πιστοποιητικού για κάθε πιστοποιητικό στην αλληλουχία για να βεβαιωθείτε ότι όλα τα πιστοποιητικά RSA χρησιμοποιούν μήκη κλειδιών τουλάχιστον 1024 bit.

Για παράδειγμα, το πιστοποιητικό στην παρακάτω εικόνα εκδόθηκε σε έναν ελεγκτή τομέα (2003DC.adatum.com) από μια αρχή έκδοσης πιστοποιητικών ρίζας εταιρείας με την ονομασία AdatumRootCA. Μπορείτε να επιλέξετε το πιστοποιητικό AdatumRootCA από την καρτέλα Διαδρομή πιστοποίησης.Για να δείτε το πιστοποιητικό AdatumRootCA, κάντε κλικ στο στοιχείο Προβολή πιστοποιητικού. Στο παράθυρο Λεπτομέρειες, επιλέξτε το στοιχείο Δημόσιο κλειδί για να δείτε το μέγεθος του κλειδιού, όπως φαίνεται στην παρακάτω εικόνα.Το πιστοποιητικό RSA για το AdatumRootCA σε αυτό το παράδειγμα είναι 2048 bit.

Χρήση καταγραφής CAPI2

Σε υπολογιστές που εκτελούν Windows Vista ή Windows Server 2008 ή νεότερες εκδόσεις των Windows, μπορείτε να χρησιμοποιήσετε την καταγραφή CAPI2 για να εντοπίσετε ευκολότερα τα κλειδιά με έκταση μικρότερη από 1024 bit. Μπορείτε, στη συνέχεια, να επιτρέψετε στους υπολογιστές να εκτελέσουν τις συνήθεις λειτουργίες τους και να ελέγξετε αργότερα το αρχείο καταγραφής για να εντοπίσετε εύκολα τα κλειδιά με έκταση μικρότερη από 1024 bit. Στη συνέχεια, μπορείτε να χρησιμοποιήσετε αυτές τις πληροφορίες για να εντοπίσετε τις πηγές των πιστοποιητικών και να πραγματοποιήσετε τις απαραίτητες ενημερώσεις.

Για να το κάνετε αυτό, πρέπει πρώτα να ενεργοποιήσετε τη λεπτομερή καταγραφή διαγνωστικών. Για να ενεργοποιήσετε τη λειτουργία λεπτομερούς καταγραφής, ακολουθήστε τα εξής βήματα:

1. Ανοίξτε τον Επεξεργαστή Μητρώου (Regedit.exe).

2. Μεταβείτε στο ακόλουθο κλειδί μητρώου:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Προσθέστε μια τιμή DWORD (32-bit) DiagLevel με τιμή 0x00000005.

4. Προσθέστε την τιμή QWORD (64-bit) DiagMatchAnyMask με τιμή 0x00ffffff.Αφού το κάνετε αυτό, μπορείτε να ενεργοποιήσετε στη συνέχεια την καταγραφή λειτουργιών CAPI2 στην Προβολή συμβάντων. Το αρχείο καταγραφής λειτουργιών CAPI2 βρίσκεται στην περιοχή Αρχεία καταγραφής εφαρμογών και υπηρεσίας, Microsoft, Windows και CAPI2 στην Προβολή συμβάντος. Για να ενεργοποιήσετε την καταγραφή, κάντε δεξιό κλικ στο αρχείο καταγραφής λειτουργιών, κάντε κλικ στο στοιχείο Ενεργοποίηση αρχείου καταγραφής (Enable Log) και, στη συνέχεια, κάντε κλικ στο στοιχείο Φιλτράρισμα τρέχοντος αρχείου καταγραφής (Filter Current Log). Κάντε κλικ στην καρτέλα XML και, στη συνέχεια, κάντε κλικ για να επιλέξετε το πλαίσιο ελέγχου Επεξεργασία ερωτήματος με μη αυτόματο τρόπο (Edit query manually).

Αφού συλλέξετε το αρχείο καταγραφής, μπορείτε να χρησιμοποιήσετε το παρακάτω φίλτρο για να μειώσετε τον αριθμό των καταχωρίσεων που πρέπει να αναζητήσετε για να εντοπίσετε τις λειτουργίες πιστοποιητικών με κλειδιά που έχουν μήκους μικρότερο από 1024 bit. Το παρακάτω φίλτρο αναζητά κλειδιά των 512 bit.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>Μπορείτε επίσης να υποβάλετε ερώτημα για πολλά μήκη κλειδιών με ένα ερώτημα. Για παράδειγμα, το παρακάτω φίλτρο αναζητά κλειδιά 384-bit και κλειδιά 512-bit.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Έλεγχος προτύπων πιστοποιητικών

Μπορείτε να εκτελέσετε το παρακάτω ερώτημα στις Αρχές έκδοσης πιστοποιητικών (CA) σας για να εντοπίσετε τα πρότυπα πιστοποιητικών που χρησιμοποιούν κλειδιά με έκταση μικρότερη από 1024 bit:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Σημείωση Θα πρέπει να εκτελέσετε την εντολή σε κάθε σύμπλεγμα δομών στον οργανισμό σας.

Εάν εκτελέσετε αυτό το ερώτημα, θα εμφανίζονται τα πρότυπα που χρησιμοποιούν κλειδιά με έκταση μικρότερη από 1024 bit με το μέγεθος του κλειδιού τους. Η παρακάτω εικόνα υποδεικνύει ότι δύο από τα ενσωματωμένα πρότυπα, το SmartcardLogon και το SmartcardUser, διαθέτουν προεπιλεγμένη έκταση κλειδιών το ελάχιστο 512 bit. Επίσης, ενδέχεται να ανακαλύψετε άλλα πρότυπα που έχουν αντιγραφεί με ελάχιστη έκταση κλειδιών μικρότερη από 1024 bit.

Για κάθε πρότυπο που εντοπίζετε το οποίο επιτρέπει κλειδιά με έκταση μικρότερη από 1024 bit, θα πρέπει να καθορίσετε εάν είναι δυνατή η έκδοση πιστοποιητικών όπως υποδεικνύει η ενότητα Πρότυπα πιστοποιητικώντης κονσόλας της Αρχής έκδοσης πιστοποιητικών.Ενεργοποίηση καταγραφής σε υπολογιστές με εγκατεστημένη την ενημέρωση

Μπορείτε να χρησιμοποιήσετε τις ρυθμίσεις του μητρώου για να δώσετε τη δυνατότητα στους υπολογιστές στους οποίους έχει εφαρμοστεί η ενημέρωση να εντοπίζουν τα πιστοποιητικά RSA με έκταση κλειδιού μικρότερη από 1024 bit. Η επιλογή για την εφαρμογή της καταγραφής περιγράφεται στην ενότητα "Επιλύσεις" επειδή σχετίζεται στενά με τις ρυθμίσεις μητρώου που μπορούν να χρησιμοποιηθούν για να επιτρέψουν τα κλειδιά με έκταση μικρότερη από 1024 bit. Ανατρέξτε αργότερα στην ενότητα "Να επιτρέπονται κλειδιά με έκταση μικρότερη από 1024 bit χρησιμοποιώντας τις ρυθμίσεις μητρώου" σε αυτό το άρθρο για περισσότερες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της καταγραφής.

Επιλύσεις

Η βασική επίλυση για οποιοδήποτε ζήτημα σχετίζεται με τον αποκλεισμό ενός πιστοποιητικού με έκταση κλειδιού μικρότερη από 1024 bit είναι η εφαρμογή ενός μεγαλύτερου πιστοποιητικού (με έκταση κλειδιού 1024 bit ή μεγαλύτερη). Συνιστούμε στους χρήστες να εφαρμόσουν τα πιστοποιητικά που έχουν έκταση κλειδιού τουλάχιστον 2048 bit.

Αύξηση της έκτασης του κλειδιού για πιστοποιητικά που έχουν εκδοθεί μέσω της αυτόματης εγγραφής πιστοποιητικών

Για πρότυπα που έχουν εκδώσει πιστοποιητικά RSA με έκταση κλειδιού μικρότερη από 1024 bit, θα πρέπει να εξετάσετε το ενδεχόμενο να αυξήσετε την ελάχιστη έκταση του κλειδιού σε μια ρύθμιση τουλάχιστον 1024 bit. Αυτό προϋποθέτει ότι οι συσκευές στις οποίες εκδίδονται τα πιστοποιητικά αυτά υποστηρίζουν μεγαλύτερο μέγεθος κλειδιού.

Αφού αυξήσετε την ελάχιστη έκταση κλειδιού, χρησιμοποιήστε την επιλογή Εκ νέου εγγραφή όλων των κατόχων πιστοποιητικών στην Κονσόλα προτύπων πιστοποιητικών (Certificate Templates Console) για να εγγράψετε εκ νέου τους υπολογιστές-πελάτες και να ζητήσετε μεγαλύτερη έκταση κλειδιού.Εάν έχετε εκδώσει πιστοποιητικά χρησιμοποιώντας τα ενσωματωμένα πρότυπα "Σύνδεση έξυπνης κάρτας" ή "Χρήστης έξυπνης κάρτας", δεν θα έχετε τη δυνατότητα να προσαρμόσετε την ελάχιστη έκταση κλειδιού του προτύπου απευθείας. Εναλλακτικά, θα πρέπει να αντιγράψετε το πρότυπο, να αυξήσετε το μέγεθος κλειδιού στο αντίγραφο του προτύπου και, στη συνέχεια, να αντικαταστήσετε το αρχικό πρότυπο με το αντίγραφο του προτύπου.Αφού αντικαταστήσετε ένα πρότυπο, χρησιμοποιήστε την επιλογή Εκ νέου εγγραφή όλων των κατόχων πιστοποιητικών για να εγγράψετε εκ νέου τους υπολογιστές-πελάτες και να ζητήσετε μεγαλύτερη έκταση κλειδιού.Να επιτρέπονται κλειδιά με έκταση μικρότερη από 1024 bit χρησιμοποιώντας τις ρυθμίσεις μητρώου

Η Microsoft δεν συνιστά στους πελάτες να χρησιμοποιούν πιστοποιητικά με έκταση μικρότερη από 1024 bit. Οι πελάτες ωστόσο, ενδεχομένως να χρειάζονται έναν εναλλακτικό τρόπο αντιμετώπισης ενώ μια μακροπρόθεσμη αντιμετώπιση σχεδιάζεται για την αντικατάσταση των πιστοποιητικών RSA που περιέχουν κλειδιά με έκταση μικρότερη από 1024 bit. Σε αυτές τις περιπτώσεις, η Microsoft παρέχει στους πελάτες τη δυνατότητα να αλλάξουν τον τρόπο λειτουργίας της ενημέρωσης. Οι πελάτες που ρυθμίζουν αυτές τις παραμέτρους αναλαμβάνουν τον κίνδυνο του ενδεχομένου ένας εισβολέας να παραβιάσει τα πιστοποιητικά τους και να τα χρησιμοποιήσει για την πλαστογράφηση περιεχομένου, ηλεκτρονικό "ψάρεμα" ή εισβολές κακόβουλων χρηστών.

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο, εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
Σε υπολογιστή με Windows 8 ή Windows Server 2012 στον οποίο έχει εφαρμοστεί η ενημέρωση, η παρακάτω διαδρομή μητρώου και οι ρυθμίσεις μπορούν να χρησιμοποιηθούν για τον έλεγχο της ανίχνευσης και του αποκλεισμού των πιστοποιητικών RSA που περιέχουν κλειδιά με έκταση μικρότερη από 1024 bit.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Υπάρχουν τέσσερεις κύριες τιμές που ελέγχουν τον τρόπο λειτουργίας του αποκλεισμού κλειδιών με έκταση μικρότερη από 1024 bit. Αυτές είναι οι εξής:
 • MinRsaPubKeyBitLength
 • EnableWeakSignatureFlags
 • WeakSignatureLogDir
 • WeakRsaPubKeyTime
Στις ακόλουθες ενότητες περιγράφονται κάθε μία από αυτές τις τιμές καθώς και τα στοιχεία που ελέγχουν.

Για λειτουργικά συστήματα που ξεκινούν με Windows Vista και Windows Server 2008, μπορείτε να χρησιμοποιήσετε εντολές certutil για να αλλάξετε αυτές τις ρυθμίσεις μητρώου. Σε Windows XP, Windows Server 2003 και Windows Server 2003 R2, δεν μπορείτε να χρησιμοποιήσετε εντολές certutil για να αλλάξετε αυτές τις ρυθμίσεις του μητρώου. Ωστόσο, μπορείτε να χρησιμοποιήσετε τον Επεξεργαστή μητρώου, την εντολή reg ή το αρχείο reg.

MinRsaPubKeyBitLength

Η τιμή MinRsaPubKeyBitLength είναι μια τιμή DWORD που καθορίζει την ελάχιστη επιτρεπόμενη έκταση κλειδιού RSA. Από προεπιλογή, αυτή η τιμή δεν υπάρχει και η ελάχιστη επιτρεπόμενη έκταση κλειδιού RSA είναι 1024. Μπορείτε να χρησιμοποιήσετε την εντολή certutil για να ορίσετε αυτήν την τιμή σε 512 εκτελώντας την ακόλουθη εντολή:

certutil -setreg chain\minRSAPubKeyBitLength 512

ΣημείωσηΌλες οι εντολές certutil που εμφανίζονται σε αυτό το άρθρο απαιτούν δικαιώματα τοπικού διαχειριστή επειδή πραγματοποιούν αλλαγές στο μητρώο. Δεν μπορείτε να παραβλέψετε το μήνυμα με την ένδειξη "Ενδέχεται να απαιτείται επανεκκίνηση της υπηρεσίας CertSvc για την εφαρμογή των αλλαγών". Κάτι τέτοιο δεν είναι απαραίτητο για αυτές τις εντολές επειδή δεν επηρεάζουν την υπηρεσία πιστοποιητικού (CertSvc).

Μπορείτε να επαναφέρετε τον αποκλεισμό των κλειδιών με έκταση μικρότερη από 1024 bit αφαιρώντας την τιμή. Για να το κάνετε αυτό, εκτελέστε την ακόλουθη εντολή certutil :

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Η τιμή DWORD EnableWeakSignatureFlags επιδέχεται τρεις τιμές: 2, 4, 6 και 8. Οι ρυθμίσεις αυτές αλλάζουν τη συμπεριφορά του τρόπου λειτουργίας της ανίχνευσης και του αποκλεισμού των κλειδιών με έκταση μικρότερη από 1024 bit. Οι ρυθμίσεις περιγράφονται στον ακόλουθο πίνακα:

Δεκαδική τιμήΠεριγραφή
2Όταν ενεργοποιηθεί, το πιστοποιητικό ρίζας (κατά τη διάρκεια της δημιουργίας αλληλουχίας) επιτρέπεται να περιέχει ένα πιστοποιητικό RSA με έκταση κλειδιού μικρότερη από 1024 bit. Ο αποκλεισμός των πιστοποιητικών RSA που βρίσκονται χαμηλότερα στην αλληλουχία (εάν περιέχουν κλειδιά με έκταση μικρότερη από 1024 bit) εξακολουθεί να ισχύει. Η ενεργοποιημένη σημαία όταν αυτή η τιμή έχει οριστεί ως CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Ενεργοποιεί την καταγραφή, αλλά εξακολουθεί να επιβάλλει τον αποκλεισμό πιστοποιητικών RSA που περιέχουν κλειδιά με έκταση μικρότερη από 1024 bit. Όταν ενεργοποιηθεί, απαιτείται το WeakSignatureLogDir. Όλα τα κλειδιά με έκταση μικρότερη από 1024 bit που εντοπίζονται αντιγράφονται στον φυσικό φάκελο WeakSignatureLogDir. Η ενεργοποιημένη σημαία όταν αυτή η τιμή έχει οριστεί ως CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Όταν ενεργοποιηθεί, το πιστοποιητικό ρίζας επιτρέπεται να περιέχει ένα πιστοποιητικό RSA με κλειδί έκτασης μικρότερης από 1024 bit και απαιτείται το WeakSignatureLogDir. Πραγματοποιείται αποκλεισμός και καταγραφή στον φάκελο που προσδιορίζεται ως WeakSignatureLogDir όλων των κλειδιών κάτω από το πιστοποιητικό ρίζας που περιέχουν κλειδιά με έκταση μικρότερη από 1024 bit.
8Ενεργοποιεί την καταγραφή και δεν επιβάλλει τον αποκλεισμό των κλειδιών με έκταση μικρότερη από 1024 bit. Όταν ενεργοποιηθεί, απαιτείται το WeakSignatureLogDir. Όλα τα κλειδιά που εντοπίζονται με έκταση μικρότερη από 1024 bit αντιγράφονται στον φυσικό φάκελο WeakSignatureLogDir. Η ενεργοποιημένη σημαία όταν αυτή η τιμή έχει οριστεί ως CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Παραδείγματα

Για να ενεργοποιήσετε ένα πιστοποιητικό ρίζας RSA που περιέχει ένα κλειδί με έκταση μικρότερη από 1024 bit, χρησιμοποιήστε την παρακάτω εντολή certutil :

certutil -setreg chain\EnableWeakSignatureFlags 2

Για να ενεργοποιήσετε την καταγραφή παράλληλα με τον αποκλεισμό πιστοποιητικών ρίζας RSA που περιέχουν ένα κλειδί με έκταση μικρότερη από 1024 bit, χρησιμοποιήστε την παρακάτω εντολή certutil :

certutil -setreg chain\EnableWeakSignatureFlags 4

Για να ενεργοποιήσετε την καταγραφή μόνο των πιστοποιητικών RSA κάτω από το πιστοποιητικό ρίζας που περιέχουν ένα κλειδί με έκταση μικρότερη από 1024 bit, χρησιμοποιήστε την παρακάτω εντολή certutil :

certutil -setreg chain\EnableWeakSignatureFlags 6

Για να ενεργοποιήσετε την καταγραφή μόνο και όχι τον αποκλεισμό κλειδιών με έκταση μικρότερη από 1024 bit, χρησιμοποιήστε την παρακάτω εντολή certutil :

certutil -setreg chain\EnableWeakSignatureFlags 8

Σημείωση Όταν ενεργοποιείτε την καταγραφή (δεκαδική ρύθμιση 4, 6 ή 8), πρέπει επίσης να ρυθμίσετε έναν κατάλογο αρχείων καταγραφής όπως περιγράφεται στην επόμενη ενότητα.

WeakSignatureLogDir

Όταν προσδιοριστεί, τα πιστοποιητικά που περιέχουν κλειδιά με έκταση μικρότερη από 1024 bit εγγράφονται στον φάκελο που έχει προσδιοριστεί. Για παράδειγμα, το C:\Under1024KeyLog θα μπορούσε να αποτελεί τα δεδομένα για αυτήν την τιμή. Αυτή η επιλογή απαιτείται όταν η τιμή του EnableWeakSignatureFlags έχει οριστεί σε 4 ή 8. Βεβαιωθείτε ότι έχετε ρυθμίσει την ασφάλεια του συγκεκριμένου φακέλου έτσι ώστε και οι εξουσιοδοτημένοι χρήστες και η τοπική ομάδα Όλα τα πακέτα εφαρμογών να έχουν πρόσβαση για τροποποίηση. Για να ορίσετε αυτήν την τιμή για το C:\Under1024KeyLog, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή certutil:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

Μπορείτε επίσης να ρυθμίσετε το WeakSignatureLogDir ώστε να πραγματοποιεί εγγραφή σε έναν κοινόχρηστο φάκελο δικτύου. Βεβαιωθείτε ότι έχετε ρυθμίσει τα κατάλληλα δικαιώματα χρήστη για την τοποθεσία δικτύου έτσι ώστε όλοι οι χρήστες που έχουν ρυθμιστεί να έχουν δυνατότητα εγγραφής στον κοινόχρηστο φάκελο. Η παρακάτω εντολή αποτελεί ένα παράδειγμα της ρύθμισης του WeakSignatureLogDir έτσι ώστε να πραγματοποιεί εγγραφή σε έναν φάκελο με την ονομασία Κλειδιά ο οποίος βρίσκεται σε έναν κοινόχρηστο φάκελο δικτύου με την ονομασία RSA ή Server1:

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

Το WeakRsaPubKeyTime αποτελεί μια τιμή REG_BINARY 8 byte που περιέχει έναν τύπο δεδομένων Windows FILETIME που αποθηκεύεται ως UTC/GMT. Αυτή η τιμή διατίθεται πρωτίστως για τον περιορισμό πιθανών προβλημάτων αποκλείοντας τα κλειδιά με έκταση μικρότερη από 1024 bit από τις υπογραφές Authenticode. Τα πιστοποιητικά που χρησιμοποιούνται για την υπογραφή κώδικα πριν από την ημερομηνία και την ώρα που έχει ρυθμιστεί δεν ελέγχονται για κλειδιά με έκταση μικρότερη από 1024 bit. Από προεπιλογή αυτή η τιμή του μητρώου δεν υπάρχει και ερμηνεύεται ως νωρίς το πρωί της 1ης Ιανουαρίου 2010 τα μεσάνυχτα UTC/GMT.

ΣημείωσηΑυτή η ρύθμιση ισχύει μόνο όταν ένα πιστοποιητικό χρησιμοποιήθηκε για την υπογραφή Authenticode ενός αρχείου με χρονική σήμανση. Εάν ο κώδικας δεν φέρει χρονική σήμανση, τότε χρησιμοποιείται η τρέχουσα ώρα και δεν χρησιμοποιείται η ρύθμιση WeakRsaPubKeyTime.

Η ρύθμιση WeakRsaPubKeyTime επιτρέπει τη ρύθμιση παραμέτρων της ημερομηνίας σε σχέση με την οποία οι παλαιότερες υπογραφές θα πρέπει να θεωρηθούν έγκυρες. Εάν έχετε λόγο να ορίσετε μια διαφορετική ημερομηνία και ώρα για το WeakRsaPubKeyTime, μπορείτε να χρησιμοποιήσετε την εντολή certutil για να ορίσετε μια διαφορετική ημερομηνία. Για παράδειγμα, εάν επιθυμούσατε να ορίσετε την ημερομηνία σε 29 Αυγούστου 2010, θα μπορούσατε να χρησιμοποιήσετε την παρακάτω εντολή:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

Εάν πρέπει να ορίσετε μια συγκεκριμένη ώρα, όπως 6:00 μ.μ. στις 4 Ιουλίου 2011, τότε προσθέστε των αριθμό των ημερών και των ωρών με τη μορφή +[ηη:ωω] στην εντολή. Επειδή 6:00 μ.μ. είναι 18 ώρες μετά τα μεσάνυχτα της 4ης Ιουλίου 2011, θα μπορείτε να εκτελέσετε την ακόλουθη εντολή:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

Ρύθμιση παραμέτρων σε Internet Information Services (IIS)

Εάν είστε πελάτης IIS και πρέπει να εκδώσετε νέα πιστοποιητικά με έκταση 1024 bit ή μεγαλύτερη, ανατρέξτε στα παρακάτω άρθρα

Προτεινόμενη αντιμετώπιση

Τα ακόλουθα αρχεία είναι διαθέσιμα για λήψη από το Κέντρο λήψης της Microsoft:


Για όλες τις υποστηριζόμενες εκδόσεις των Windows XP που βασίζονται σε τεχνολογία x86

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις των Windows XP Professional x64 που βασίζονται σε τεχνολογία x64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις x86 του Windows Server 2003

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2003 που βασίζονται σε τεχνολογία x64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2003 που βασίζονται σε τεχνολογία IA-64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις x86 των Windows Vista

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις των Windows Vista που βασίζονται σε τεχνολογία x64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις x86 του Windows Server 2008

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε τεχνολογία x64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε τεχνολογία IA-64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις των Windows 7 που βασίζονται σε τεχνολογία x86

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις που βασίζονται σε επεξεργαστή x64 των Windows 7

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 R2 που βασίζονται σε τεχνολογία x64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 R2 που βασίζονται σε τεχνολογία IA-64

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις των Windows Embedded Standard 7 που βασίζονται σε τεχνολογία x86

Λήψη Άμεση λήψη του πακέτου.

Για όλες τις υποστηριζόμενες εκδόσεις των Windows Embedded Standard 7 που βασίζονται σε τεχνολογία x64

Λήψη Άμεση λήψη του πακέτου.

Ημερομηνία κυκλοφορίας: 14 Αυγούστου 2012

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft έχει ελέγξει αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι συμβάλλουν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

ΠΛΗΡΟΦΟΡΙΕΣ ΑΡΧΕΙΟΥ

Για μια λίστα αρχείων που παρέχονται σε αυτά τα πακέτα, κάντε κλικ στον ακόλουθο σύνδεσμο:
Ιδιότητες

Αναγνωριστικό άρθρου: 2661254 - Τελευταία αναθεώρηση: 26 Δεκ 2012 - Αναθεώρηση: 1

Σχόλια