Περιγραφή των αλλαγών στην ανάκτηση δικτύου αντικειμένων PKI στο Windows Vista Service Pack 1 και στον Windows Server 2008

Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες σχετικά με την τροποποίηση του μητρώου. Βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Βεβαιωθείτε ότι γνωρίζετε τους τρόπους επαναφοράς του μητρώου εάν παρουσιαστεί κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, τον τρόπο επαναφοράς και τροποποίησης του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows 2000

Περίληψη

Κατά την επικύρωση διαδρομής πιστοποιητικού, το Windows Vista Service Pack 1 (SP1) και ο Windows Server 2008 ενδέχεται να ανακτήσουν αντικείμενα, όπως πιστοποιητικά και λίστες ανάκλησης πιστοποιητικών (CRL) από το δίκτυο. Το Windows Vista SP1 και ο Windows Server 2008 υποστηρίζουν αυτήν τη λειτουργικότητα ανάκτησης δικτύου, χρησιμοποιώντας το πρωτόκολλο FILE, το πρωτόκολλο HTTP και το πρωτόκολλο LDAP.

Από προεπιλογή, το πρωτόκολλο FILE για ανάκτηση δικτύου αντικειμένων υποδομής δημόσιου κλειδιού (PKI) είναι απενεργοποιημένο, για βελτίωση της ασφάλειας στη διάρκεια της διαδικασίας ανάκτησης δικτύου. Επιπλέον, η διαδικασία ανάκτησης δικτύου που χρησιμοποιεί το πρωτόκολλο LDAP ή το πρωτόκολλο HTTP έχει τροποποιηθεί στο Windows Vista SP1 και στον Windows Server 2008. Για περισσότερες πληροφορίες σχετικά με αυτές τις αλλαγές, ανατρέξτε στην ενότητα “Περισσότερες πληροφορίες”.

Περισσότερες πληροφορίες

Προειδοποίηση Ενδέχεται να προκύψουν σοβαρά ζητήματα σε περίπτωση λανθασμένης τροποποίησης του μητρώου με χρήση του Επεξεργαστή Μητρώου (Registry Editor) ή άλλης μεθόδου. Λόγω αυτών των ζητημάτων, ενδέχεται να χρειαστεί εκ νέου εγκατάσταση του λειτουργικού συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα ζητήματα αυτά είναι δυνατό να επιλυθούν. Τροποποιήστε το μητρώο με δική σας ευθύνη.

Αλλαγές στη διαδικασία ανάκτησης δικτύου που χρησιμοποιεί το πρωτόκολλο FILE

Από προεπιλογή, η διαδικασία ανάκτησης δικτύου που χρησιμοποιεί το πρωτόκολλο FILE είναι απενεργοποιημένη για λειτουργίες πιστοποιητικών. Εάν θέλετε να ενεργοποιήσετε αυτήν τη δυνατότητα, ακολουθήστε τα εξής βήματα:
 1. Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε
  regedit και, τέλος, κάντε κλικ στο κουμπί
  OK.
 2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου και κατόπιν κάντε κλικ επάνω του:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
 3. Κάντε δεξιό κλικ στο στοιχείο Config, τοποθετήστε τον δείκτη του ποντικιού στην εντολή Δημιουργία (New) και, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD (DWORD Value).
 4. Πληκτρολογήστε AllowFileUrlSchemeκαι κατόπιν πιέστε το πλήκτρο ENTER.
 5. Κάντε δεξιό κλικ στο στοιχείο
  AllowFileUrlScheme και, στη συνέχεια, κάντε κλικ στην εντολή
  Τροποποίηση (Modify).
 6. Στο πλαίσιο Δεδομένα τιμής (Value data)πληκτρολογήστε 0x01 και κατόπιν κάντε κλικ στο κουμπί
  ΟΚ.
 7. Από το μενού Αρχείο (File), κάντε κλικ στην εντολή Έξοδος (Exit).
Αυτή η ρύθμιση επαναφέρει τον υπολογιστή στη συμπεριφορά του Windows XP Service Pack 2 (SP2), του Windows Server 2003 SP1 και της έκδοσης των Windows Vista.

Αλλαγές στη διαδικασία ανάκτησης δικτύου που χρησιμοποιεί το πρωτόκολλο LDAP

Από προεπιλογή, το πρόγραμμα-πελάτης PKI στο Windows Vista SP1 και στον Windows Server 2008 υπογράφει και κρυπτογραφεί όλη την κίνηση LDAP για αντικείμενα PKI. Επιπλέον, αν απαιτείται έλεγχος ταυτότητας μόνο για την ανάκτηση δικτύου, εκτελείται έλεγχος ταυτότητας Kerberos. Για δοκιμή, μπορεί να θέλετε να απενεργοποιήσετε τη λειτουργικότητα στο Windows Vista SP1 και στον Windows Server 2008, η οποία υπογράφει και κρυπτογραφεί την κίνηση LDAP. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
 1. Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε
  regedit και, τέλος, κάντε κλικ στο κουμπί
  OK.
 2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου και κατόπιν κάντε κλικ επάνω του:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
 3. Κάντε δεξιό κλικ στο στοιχείο Config, τοποθετήστε τον δείκτη του ποντικιού στην εντολή Δημιουργία (New) και, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD (DWORD Value).
 4. Πληκτρολογήστε
  DisableLDAPSignAndEncrypt και κατόπιν πιέστε το πλήκτρο ENTER.
 5. Κάντε δεξιό κλικ στο στοιχείο
  DisableLDAPSignAndEncrypt και, στη συνέχεια, κάντε κλικ στην εντολή Τροποποίηση (Modify).
 6. Στο πλαίσιο Δεδομένα τιμής (Value data)πληκτρολογήστε 0x01 και κατόπιν κάντε κλικ στο κουμπί
  ΟΚ.
 7. Από το μενού Αρχείο (File), κάντε κλικ στην εντολή Έξοδος (Exit).
Μετά την εφαρμογή αυτής της ρύθμισης, χρησιμοποιούνται πιστοποιήσεις NTLM ή Kerberos για έλεγχο ταυτότητας. Επιπλέον, η σημαία Υπογραφή (Sign) και η σημαία Κρυπτογράφηση (Encrypt) δεν ορίζονται στις αιτήσεις LDAP. Αυτή η ρύθμιση επαναφέρει τον υπολογιστή στη συμπεριφορά του Windows XP SP2, του Windows Server 2003 SP1 και της έκδοσης των Windows Vista.

Αλλαγές στη διαδικασία ανάκτησης δικτύου που χρησιμοποιεί το πρωτόκολλο HTTP

Στο πρόγραμμα-πελάτη PKI στο Windows Vista SP1 και στον Windows Server 2008, η διαδικασία ανάκτησης δικτύου που χρησιμοποιεί το πρωτόκολλο HTTP εκτελεί έλεγχο ταυτότητας μόνο για τους διακομιστές μεσολάβησης που ρυθμίζονται τοπικά. Η εκτέλεση ελέγχου ταυτότητας εξαρτάται από το μήνυμα λάθους που επιστρέφεται από το διακομιστή μεσολάβησης. Εάν ο διακομιστής μεσολάβησης επιστρέψει το ακόλουθο μήνυμα λάθους, εκτελείται έλεγχος ταυτότητας:
HTTP 407: Απαιτείται έλεγχος ταυτότητας διακομιστή μεσολάβησης


(HTTP 407: Proxy Authentication required)
Εάν ο διακομιστής μεσολάβησης επιστρέψει το ακόλουθο μήνυμα λάθους, δεν εκτελείται έλεγχος ταυτότητας:
HTTP 401: Δεν επιτρέπεται η πρόσβαση

(HTTP 401: Access Denied)
Σημείωση Εάν απαιτείται έλεγχος ταυτότητας διακομιστή μεσολάβησης, θα εκτελεστεί έλεγχος ταυτότητας Kerberos και NTLM.

Εάν θέλετε να αλλάξετε αυτήν την προεπιλεγμένη συμπεριφορά, ακολουθήστε τα εξής βήματα:
 1. Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε
  regedit και, τέλος, κάντε κλικ στο κουμπί
  OK.
 2. Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου και κατόπιν κάντε κλικ επάνω του:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
 3. Κάντε δεξιό κλικ στο στοιχείο Config, τοποθετήστε τον δείκτη του ποντικιού στην εντολή Δημιουργία (New) και, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD (DWORD Value).
 4. Πληκτρολογήστε EnableInetUnknownAuthκαι κατόπιν πιέστε το πλήκτρο ENTER.
 5. Κάντε δεξιό κλικ στο στοιχείο
  EnableInetUnknownAuth και, στη συνέχεια, κάντε κλικ στην εντολή Τροποποίηση (Modify).
 6. Στο πλαίσιο Δεδομένα τιμής (Value data)πληκτρολογήστε 0x01 και κατόπιν κάντε κλικ στο κουμπί
  ΟΚ.
 7. Από το μενού Αρχείο (File), κάντε κλικ στην εντολή Έξοδος (Exit).
Μετά την εφαρμογή αυτής της ρύθμισης, ο έλεγχος ταυτότητας εκτελείται τώρα όταν ο διακομιστής μεσολάβησης επιστρέψει ένα μήνυμα λάθους "HTTP 401". Αυτή η ρύθμιση επαναφέρει τον υπολογιστή στη συμπεριφορά του Windows XP SP2, του Windows Server 2003 SP1 και της έκδοσης των Windows Vista.
Ιδιότητες

Αναγνωριστικό άρθρου: 946401 - Τελευταία αναθεώρηση: 15 Απρ 2008 - Αναθεώρηση: 1

Σχόλια