Διατίθενται δύο βελτιώσεις που Μειώστε το χρόνο που απαιτείται για να διαχειριστείτε πιστοποιητικά SCEP, χρησιμοποιώντας την υπηρεσία εγγραφής συσκευή δικτύου στον Windows Server 2008

Ισχύει για: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

Συμπτώματα


Στον Windows Server 2008, προσπαθείτε να διαχειριστείτε πιστοποιητικά απλό πρωτόκολλο εγγραφής πιστοποιητικού (SCEP), χρησιμοποιώντας την υπηρεσία εγγραφής συσκευή δικτύου (NDES). Το NDES έχει εγκατασταθεί ως τμήμα των υπηρεσιών πιστοποιητικών των Windows Server 2008. Σε αυτό το σενάριο, αντιμετωπίζετε τα ακόλουθα ζητήματα:

Πρόβλημα 1

Οι κωδικοί πρόσβασης δεν μπορούν να επαναχρησιμοποιηθούν μεταξύ των συσκευών.

Με βάση το πρωτόκολλο SCEP, απαιτείται μια συσκευή για να στείλετε έναν κωδικό πρόσβασης, όταν το ζητά ένα πιστοποιητικό από ένα διακομιστή SCEP για πρώτη φορά. Ο διακομιστής SCEP εκδίδει ένα πιστοποιητικό μετά την επικύρωση του κωδικού πρόσβασης.

Η διαδικασία με την οποία ο διακομιστής SCEP εκδίδει ένα πιστοποιητικό, μετά την επικύρωση του κωδικού πρόσβασης είναι η εξής:
  1. Ο διαχειριστής συνδέεται με μια τοποθεσία Web διαχείρισης SCEP και ζητά έναν κωδικό πρόσβασης.
  2. Ο διακομιστής SCEP δημιουργεί έναν τυχαίο κωδικό πρόσβασης, το αποθηκεύει στη μνήμη cache και, στη συνέχεια, εμφανίζει τον κωδικό πρόσβασης του διαχειριστή.
  3. Ο διαχειριστής ρυθμίζει τον κωδικό πρόσβασης στη συσκευή.
  4. Η συσκευή στέλνει την αρχική αίτηση για ένα πιστοποιητικό αυτού του κωδικού πρόσβασης.

    Σημείωση Αυτός ο κωδικός πρόσβασης λήγει σε 60 λεπτά.
  5. Ο διακομιστής εκδίδει το πιστοποιητικό και, στη συνέχεια, καταργεί τον κωδικό πρόσβασης από τη μνήμη cache. Ο κωδικός πρόσβασης μπορεί να χρησιμοποιηθεί πλέον από άλλες συσκευές.
Πρόβλημα 2

Τα πιστοποιητικά SCEP δεν μπορεί να re-enrolled αυτόματα μετά τη λήξη τους.

Επειδή αυτά τα δύο θέματα, ίσως χρειαστούν διαχειριστές πολύ χρόνο για την αίτηση, τους κωδικούς πρόσβασης για όλες τις συσκευές και να εφαρμόσετε τα πιστοποιητικά SCEP.

Προτεινόμενη αντιμετώπιση


Για να επιλύσετε αυτά τα δύο ζητήματα, εγκαταστήσετε την επείγουσα επιδιόρθωση 959193. Αυτή η επείγουσα επιδιόρθωση παρουσιάζει τις ακόλουθες δύο βελτιώσεις:

Βελτίωση 1

Μετά την εφαρμογή αυτής της επείγουσας επιδιόρθωσης, μπορεί να χρησιμοποιηθεί ξανά τους κωδικούς πρόσβασης μεταξύ των συσκευών. Η νέα διαδικασία για τη διαχείριση των κωδικών πρόσβασης είναι η εξής:
  1. Ο διακομιστής SCEP επιβεβαιώνει τη ρύθμιση μητρώου για την κατάσταση λειτουργίας "Μόνο κωδικού πρόσβασης". Σε αυτήν τη λειτουργία, κύριος κωδικός δημιουργείται και αποθηκεύεται στο μητρώο με τη χρήση κρυπτογραφημένων δεδομένων. Τον κύριο κωδικό πρόσβασης δεν λήγει ποτέ.
  2. Ένας διαχειριστής συνδέεται με μια τοποθεσία Web διαχείρισης SCEP και ζητά έναν κωδικό πρόσβασης. Παράδοση τον κύριο κωδικό πρόσβασης.
  3. Ο διαχειριστής ρυθμίζει τον κωδικό πρόσβασης στη συσκευή. Επειδή ο κωδικός πρόσβασης είναι το ίδιο για όλες τις συσκευές και επειδή λήγει ποτέ, ο διαχειριστής μπορεί εύκολα να συντάξετε μια δέσμη ενεργειών για την ανάπτυξη του κωδικού πρόσβασης σε όλες τις συσκευές.
Τρόπος ενεργοποίησης της βελτίωσης 1

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει κάποιο ζήτημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

Για να ενεργοποιήσετε αυτήν τη δυνατότητα, δημιουργήστε την ακόλουθη καταχώρηση μητρώου:
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

Σημείωση Εάν εκτελείτε το NDES στο λογαριασμό της υπηρεσίας δικτύου, πρέπει να εκχωρήσετε δικαιώματα πλήρους ελέγχου στο λογαριασμό "Υπηρεσία δικτύου" στο ακόλουθο δευτερεύον κλειδί μητρώου: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Βελτίωση 2

Τα πιστοποιητικά μπορούν να re-enrolled αυτόματα μετά τη λήξη τους. Αυτή η δυνατότητα ενεργοποιείται αυτόματα μετά την εγκατάσταση της επείγουσας επιδιόρθωσης.

Από προεπιλογή, όταν ζητάτε μια ανανέωση του πιστοποιητικού, χρησιμοποιώντας αυτήν τη δυνατότητα, το πιστοποιητικό του υπογράφοντα πρέπει να έχουν το ίδιο όνομα θέματος και εναλλακτικό όνομα θέματος ως το ζητούμενο πιστοποιητικό. Για να παρακάμψει αυτήν την απαίτηση, ορίστε την τιμή της καταχώρησης μητρώου DisableRenewalSubjectNameMatch στο ακόλουθο δευτερεύον κλειδί στο 1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

Σημείωση Ίσως χρειαστεί να δημιουργήσετε αυτήν την καταχώρηση μητρώου με χρήση του τύπου REG_DWORD, εάν η καταχώρηση μητρώου δεν υπάρχει.

Πληροφορίες άμεσης επιδιόρθωσης

Μια υποστηριζόμενη άμεση επιδιόρθωση είναι διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του προβλήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν το πρόβλημα που περιγράφεται σε αυτό το άρθρο. Αυτή η άμεση επιδιόρθωση ενδέχεται να υποβληθεί σε πρόσθετο έλεγχο. Επομένως, εάν αυτό το ζήτημα δεν σας επηρεάζει ιδιαίτερα, σας συνιστούμε να περιμένετε έως την επόμενη ενημέρωση λογισμικού που περιέχει αυτήν την άμεση επιδιόρθωση.

Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, τότε υπάρχει μια ενότητα με τίτλο "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή αυτού του άρθρου της Γνωσιακής βάσης. Εάν αυτή η ενότητα δεν εμφανίζεται, επικοινωνήστε με την Υπηρεσία εξυπηρέτησης πελατών και υποστήριξης της Microsoft για να αποκτήσετε την άμεση επιδιόρθωση.

Σημείωση Εάν προκύψουν πρόσθετα ζητήματα ή απαιτείται αντιμετώπιση προβλημάτων, ίσως χρειαστεί να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, ισχύουν οι συνηθισμένες χρεώσεις υποστήριξης. Για μια πλήρη λίστα αριθμών τηλεφώνου υποστήριξης και εξυπηρέτησης πελατών της Microsoft ή για να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Σημείωση Η φόρμα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" εμφανίζει τις γλώσσες για τις οποίες είναι διαθέσιμη η άμεση επιδιόρθωση. Εάν η γλώσσα σας δεν εμφανίζεται, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη για αυτήν τη γλώσσα.

Σημαντικό τα Windows Vista και Windows Server 2008 επείγουσες επιδιορθώσεις περιλαμβάνονται στα ίδια πακέτα. Ωστόσο, μόνο ένα από αυτά τα προϊόντα ενδέχεται να αναφέρεται στη σελίδα "Αίτηση άμεσης επιδιόρθωσης". Για να ζητήσετε το πακέτο άμεσης επιδιόρθωσης που ισχύει για τα Windows Vista και Windows Server 2008, απλά επιλέξτε το προϊόν που αναφέρεται στη σελίδα.

Προϋποθέσεις

Δεν υπάρχουν προϋποθέσεις.

Απαίτηση επανεκκίνησης

Πρέπει να κάνετε επανεκκίνηση του υπολογιστή μετά την εφαρμογή αυτής της επείγουσας επιδιόρθωσης.

Πληροφορίες αντικατάστασης άμεσης επιδιόρθωσης

Αυτή η επείγουσα επιδιόρθωση δεν αντικαθιστά άλλες επείγουσες επιδιορθώσεις που κυκλοφόρησαν προηγουμένως.

Πληροφορίες αρχείων

Η αγγλική έκδοση αυτής της άμεσης επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, μετατρέπεται σε τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα Zώνη ώρας στο στοιχείο Hμερομηνία και ώρα " στον πίνακα ελέγχου.
Σημειώσεις πληροφοριών αρχείων Windows Server 2008
Τα αρχεία .manifest και τα αρχεία .mum που εγκαθίστανται σε κάθε περιβάλλον είναι παρατίθενται ξεχωριστά στην ενότητα "πρόσθετες πληροφορίες αρχείων για τον Windows Server 2008". Αυτά τα αρχεία και τα αρχεία τους συσχετισμένη .cat (καταλόγου ασφαλείας) είναι κρίσιμες για τη διατήρηση της κατάστασης του ενημερωμένου στοιχείου. Τα αρχεία .cat είναι υπογεγραμμένα με ψηφιακή υπογραφή της Microsoft. Τα χαρακτηριστικά αυτών των αρχείων ασφαλείας δεν εμφανίζονται.

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε x86
Όνομα αρχείουΈκδοση αρχείουΜέγεθος αρχείουΗμ/νίαΏραΠλατφόρμα
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε x64
Όνομα αρχείουΈκδοση αρχείουΜέγεθος αρχείουΗμ/νίαΏραΠλατφόρμα
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

Κατάσταση


Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα των προϊόντων της Microsoft που παρατίθενται στην ενότητα "Ισχύει για".

Περισσότερες πληροφορίες


Για περισσότερες πληροφορίες σχετικά με το SCEP, επισκεφθείτε την ακόλουθη τοποθεσία Web της τοποθεσίας (IETF) Web προσχέδια του Internet:

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Σημειώστε αυτό το έγγραφο θα λήξει στις 25 Ιουλίου 2009. Για πληροφορίες μετά την ημερομηνία αυτή, κάντε αναζήτηση για "SCEP" στην κεντρική σελίδα της τοποθεσίας Web.

Η Microsoft παρέχει στοιχεία επικοινωνίας με τρίτους για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας ενδέχεται να αλλάξουν χωρίς ειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια των στοιχείων επικοινωνίας τρίτων.


Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

824684 περιγραφή της βασικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερωμένων εκδόσεων λογισμικού της Microsoft


Πρόσθετες πληροφορίες αρχείων για τον Windows Server 2008

Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε x86
Όνομα αρχείουΈκδοση αρχείουΜέγεθος αρχείουΗμ/νίαΏραΠλατφόρμα
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumΔεν ισχύει13,17218-Jan-200901:10Δεν ισχύει
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mumΔεν ισχύει1,42318-Jan-200901:10Δεν ισχύει
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumΔεν ισχύει13,64718-Jan-200901:10Δεν ισχύει
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mumΔεν ισχύει1,43118-Jan-200901:10Δεν ισχύει
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifestΔεν ισχύει43,47517-Jan-200907:10Δεν ισχύει
Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 που βασίζονται σε x64
Όνομα αρχείουΈκδοση αρχείουΜέγεθος αρχείουΗμ/νίαΏραΠλατφόρμα
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifestΔεν ισχύει43,50517-Jan-200909:42Δεν ισχύει
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumΔεν ισχύει13,28418-Jan-200901:10Δεν ισχύει
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumΔεν ισχύει1,43118-Jan-200901:10Δεν ισχύει
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumΔεν ισχύει13,76318-Jan-200901:10Δεν ισχύει
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mumΔεν ισχύει1,43918-Jan-200901:10Δεν ισχύει