Σύνοψη των αλλαγών για τη λογική επικύρωσης CryptoAPI πιστοποιητικό αλυσίδα στο Windows XP Service Pack 2

Σύνοψη

Αυτό το άρθρο περιγράφει τις αλλαγές που έχουν γίνει τη λογική επικύρωσης CryptoAPI πιστοποιητικό αλυσίδα στο Microsoft Windows XP Service Pack 2 (SP2).

Περισσότερες πληροφορίες

Το CryptoAPI πιστοποιητικό χρησιμοποιεί τη διαδικασία Winhttp.dll για ανάκτηση δικτύου αντί της διαδικασίας Wininet.dll που χρησιμοποιείται στις εκδόσεις πριν από το SP2 των Windows XP. Επομένως, το Windows XP SP2 παρουσιάζει τις εξής νέες λειτουργίες:
  • HTTPS Uniform Resource Locators (URL) δεν υποστηρίζονται πλέον ως αναφορές σημείο διανομής.

    Σημείωση URL HTTPS ενδέχεται να δημιουργήσει επαναλήψεις ανάκλησης αναδρομή.
  • Διευθύνσεις URL του αρχείου Transfer Protocol (FTP) δεν υποστηρίζονται πλέον.
  • Ένα πρόγραμμα της Microsoft κρυπτογράφηση API (CAPI) υποστηρίζει μόνο μεσολάβησης αυτόματης ρύθμισης παραμέτρων μέσω δεσμών ενεργειών που βασίζεται σε JavaScript.

    Σημείωση Δέσμες ενεργειών που βασίζονται σε JavaScript περιλαμβάνουν εκείνα με .js, .pac, .jvs και .dat επεκτάσεις.
  • Το CryptoAPI πιστοποιητικό δεν είναι πλέον χρησιμοποιεί τη μνήμη cache του Microsoft Internet Explorer (Wininet.dll). Αντίθετα, διατηρεί ένα ξεχωριστό δίσκο cache στην ακόλουθη θέση:
    \Application Data\Microsoft\CryptnetUrlCacheόνομα χρήστηC:\Documents and Settings\
  • Ο έλεγχος ταυτότητας με διακομιστές μεσολάβησης που δεν χρησιμοποιούν το ενσωματωμένο έλεγχο ταυτότητας των Windows σε ορισμένα προγράμματα ενδέχεται να αποτύχει. Αυτό το ζήτημα παρουσιάζεται επειδή η διαδικασία το Winhttp.dll έχει σχεδιαστεί για χρήση από μη αλληλεπιδραστικές υπηρεσίες και ζητά από το χρήστη πιστοποιήσεις δικτύου.
  • Προεπιλεγμένες τιμές χρονικού ορίου δικτύου έχουν αλλάξει. Αυτές οι αλλαγές έγιναν πρώτα για να αντιμετωπίσουν το πρόβλημα της CAPI αποκλεισμός κρυπτογράφησης για εκτεταμένη χρονική περίοδο κατά τη διάρκεια της λίστας ανάκλησης πιστοποιητικών (CRL) ανακτήσεις όταν το URL προορισμού δεν είναι προσβάσιμο. Οι νέες προεπιλεγμένες τιμές χρονικού ορίου είναι 15 δευτερόλεπτα ανά ανάκτησης και 20 δευτερόλεπτα ανά επικύρωση αλληλουχίας.
  • Όταν το CryptoAPI επεξεργάζεται πιστοποιητικά με επέκταση πρόσβαση πληροφοριών αρχής (AIA), χειρίζεται το πολύ 10 διευθύνσεις URL ανά αλληλουχίας πιστοποιητικών ή να URL μόνο 5 ανά πιστοποιητικό. Το CryptoAPI περιορίζει επίσης τα δεδομένα που ανακτώνται ανά αλληλουχίας πιστοποιητικών σε 100.000 byte. Οι περιορισμοί έχουν σχεδιαστεί για να μειωθεί η πιθανή χρήση AIA αναφορές σε εισβολές άρνησης εξυπηρέτησης.
  • Τώρα θα επιλυθεί το ζήτημα όπου CryptoAPI μπορεί να επιλέξετε ένα πιστοποιητικό που έχει ανακληθεί αντί για ένα ενεργό πιστοποιητικό όταν η αρχή έκδοσης πιστοποιητικών (CA) έχει δύο πιστοποιητικά. Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    841641 των υπηρεσιών IIS επιστρέφει ένα μήνυμα λάθους "403.13 Client πιστοποιητικό έχουν ανακληθεί" μετά την εγκατάσταση του MS04-011 εξαιτίας των ρυθμίσεων διακομιστή μεσολάβησης Wininet

    329433 είναι επιλεγμένο ένα πιστοποιητικό που έχει ανακληθεί εάν μια αρχή έκδοσης πιστοποιητικών της αλυσίδας έχει δύο πιστοποιητικά

Ιδιότητες

Αναγνωριστικό άρθρου: 887196 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια