Algunos clientes de protocolo de estado de certificados en línea (OCSP) de otros fabricantes pueden rechazar una respuesta de un Respondedor OSCP este contestador de OCSP si recibe un certificado de firma de respuesta de una autoridad de certificación de Windows Server 2008

Síntomas

Imagine el siguiente escenario:
  • Un Respondedor del protocolo de estado de certificados en línea (OCSP) Obtiene un certificado de firma de respuesta de una entidad emisora de certificados (CA) de Windows Server 2008.
  • Algunos clientes OCSP de terceros usan este servidor OCSP para comprobar los certificados.
En este escenario, estos clientes OCSP pueden rechazar una respuesta del contestador de OCSP. Cuando la respuesta es rechazado, se produce un error de la función para algunos clientes OCSP de terceros, tales como enrutadores Cisco.

Causa

Una CA de Windows Server 2008 se emite un certificado de firma de respuesta a un contestador de OCSP. La extensión de la NoRevCheck de este certificado contiene un valor de longitud cero en lugar de un valor nulo de ASN. El contestador de OCSP utiliza este certificado para responder a las consultas de los clientes OCSP.

Algunos clientes OCSP de terceros requieren que el valor de la extensión NoRevCheck es un valor nulo de ASN. Por lo tanto, estos clientes OCSP de terceros rechazan la respuesta del contestador de OCSP.

Solución

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Revisiones importantes de Windows Vista y Windows Server 2008 se incluyen en los mismos paquetes. Sin embargo, sólo uno de estos productos puede aparecer en la página "Solicitud de revisión". Para solicitar el paquete de revisiones que se aplica a Windows Vista y Windows Server 2008, seleccione el producto que aparece en la página.

Requisitos previos

Para aplicar este hotfix, debe tener Windows Server 2008 con servicios de Certificate Server instalados en el equipo.

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones publicadas anteriormente.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.

Notas sobre la información de archivo de Windows Server 2008

Los archivos MANIFEST (.manifest) y archivos MUM (.mum) instalados para cada entorno están enumerados por separado. MUM y archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son importantes para mantener el estado del componente actualizado. Los archivos de catálogo de seguridad (atributos no enumerados) están firmados con una firma digital de Microsoft.
Para todas las versiones de 32 bits de Windows Server 2008 de compatibles
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Certpdef.dll6.0.6001.22317132,60825-Nov-200805:10x86
Certcli.dll6.0.6001.22317323,07225-Nov-200805:10x86
Para todas las versiones de 64 bits de Windows Server 2008 de compatibles
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Certpdef.dll6.0.6001.22317170,49625-Nov-200805:50x64
Certcli.dll6.0.6001.22317444,41625-Nov-200805:50x64
Certcli.dll6.0.6001.22317323,07225-Nov-200805:10x86

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

El servicio Respondedor en línea de Microsoft permite configurar y gestionar cheques OCSP de validación y de revocación en redes basadas en Windows. El complemento Respondedor en línea permite configurar y administrar las configuraciones de revocación y matrices de Respondedor en línea para admitir a clientes de infraestructura de claves públicas (PKI) en diversos entornos.


Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.

Información adicional de archivos para Windows Server 2008

Archivos adicionales para todas las versiones de 32 bits de Windows Server 2008 de compatibles
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Package_for_kb960549_client_1~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1,84825-Nov-200821:23No aplicable
Package_for_kb960549_client~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1,43125-Nov-200821:23No aplicable
Package_for_kb960549_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1,42225-Nov-200821:23No aplicable
Package_for_kb960549_sc~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1.42325-Nov-200821:23No aplicable
Package_for_kb960549_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable2.11725-Nov-200821:23No aplicable
Package_for_kb960549_server~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1,43125-Nov-200821:23No aplicable
Package_for_kb960549_winpesrv_0~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1,42225-Nov-200821:23No aplicable
Package_for_kb960549_winpesrv~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1.43025-Nov-200821:23No aplicable
X86_microsoft-windows-c..ervices-ca-certpdef_31bf3856ad364e35_6.0.6001.22317_none_bdc5b28a0ea37c86.manifestNo aplicable32,92425-Nov-200806:38No aplicable
X86_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_d803882d55c6ef90.manifestNo aplicable62,02825-Nov-200806:39No aplicable
Archivos adicionales para todas las versiones de 64 bits de Windows Server 2008 de compatibles
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Amd64_microsoft-windows-c..ervices-ca-certpdef_31bf3856ad364e35_6.0.6001.22317_none_19e44e0dc700edbc.manifestNo aplicable32,96025-Nov-200807:13No aplicable
Amd64_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_342223b10e2460c6.manifestNo aplicable61,71525-Nov-200807:15No aplicable
Package_for_kb960549_client_1~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1.86025-Nov-200821:23No aplicable
Package_for_kb960549_client~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1.43925-Nov-200821:23No aplicable
Package_for_kb960549_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1.43025-Nov-200821:23No aplicable
Package_for_kb960549_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1,43125-Nov-200821:23No aplicable
Package_for_kb960549_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable2,13125-Nov-200821:23No aplicable
Package_for_kb960549_server~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1.43925-Nov-200821:23No aplicable
Package_for_kb960549_winpesrv_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1.43025-Nov-200821:23No aplicable
Package_for_kb960549_winpesrv~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1,43825-Nov-200821:23No aplicable
X86_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_d803882d55c6ef90.manifestNo aplicable62,02825-Nov-200806:39No aplicable
Propiedades

Id. de artículo: 960549 - Última revisión: 13 ene. 2017 - Revisión: 1

Comentarios