Síntomas
Imagine el siguiente escenario:
-
Tiene el servicio Respondedor en línea de Microsoft instalado en un servidor que está ejecutando Windows Server 2008 R2 o Windows Server R2 de 2012.
-
El servidor se utiliza para configurar y administrar la validación del Protocolo de estado de certificados en línea (OCSP).
En este escenario, el servicio Respondedor en línea no devuelve un valor determinista de buena para todos los certificados que no están incluidos en la lista de revocación de certificados (CRL).
Causa
Este problema se produce porque el OCSP no comprueba con un origen confirmado que el certificado fue emitido realmente por su entidad emisora de certificados correspondiente. En su lugar, si no se incluye un certificado en la CRL, se supone el servicio Respondedor en línea que el certificado es válido y devuelve un valor del bien.
Solución
Para resolver este problema en Windows 8.1 o 2012 R2 de Windows Server, instale la actualización 2967917. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
2967917 paquete acumulativo de actualizaciones de julio del de 2014 para Windows RT 8.1 8.1 de Windows y Windows Server R2 de 2012
Para resolver este problema en Windows 7 o Windows Server 2008 R2, instale la revisión que se describe en la sección "Información de revisión" en este artículo.
Antes de instalar este hotfix, debe configurar el servicio OCSP para leer los números de serie que son emitidos por la entidad emisora de certificados. Para ello, siga los pasos descritos en esta sección para crear una ubicación de directorio en el que desea guardar los archivos de número de serie y crear claves del registro que señalan a este directorio.
Notas:
-
El directorio puede ser ubicado en un recurso compartido de red o alojado en un equipo local. Si establece la configuración del arreglo de discos, se recomienda alojar el directorio en un recurso compartido de red para que todos los miembros de la matriz pueden haber "leer" acceso a él.
-
Independientemente de donde está ubicado el directorio, asegúrese de que el servicio OCSP tiene permiso de lectura para el directorio. La configuración del registro no se aplicará a los Respondedores en línea de Microsoft que no se han modificado por esta revisión.
Configurar el servicio OCSP
Ejecute los pasos siguientes en el equipo de la entidad emisora de certificados que ha configurado el servicio OCSP.
Paso 1: Estructura de directorios
-
Inicie el Bloc de notas y, a continuación, pegue el siguiente script de ejemplo en un nuevo documento:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Guarde el nuevo documento como Certs.ps1.
-
Cree un directorio en que deben almacenarse los archivos vacíos que corresponden a todos los números de serie emitidos.
-
Ejecute el script Certs.ps1. Para ello, ejecute el siguiente comando en Windows PowerShell:
Certs.ps1 < ubicación del directorio creado en el paso 3 >
-
Examine el directorio que creó en el paso 3 para asegurarse de que los archivos corresponden a los números de serie emitidos.
Nota: Si tiene varias entidades emisoras alojado en su entorno, asegúrese de que sus correspondientes directorios de número de serie son diferentes. No comparten el mismo directorio entre diferentes entidades emisoras. -
Ejecute la secuencia de comandos en el equipo de CA y cargar el archivo guardado asignándole una ACL restrictiva. El archivo no debe ser modificable. Asegúrese de que todos los equipos del Respondedor en línea de Microsoft pueden tener acceso a esta ubicación.
Para obtener más información acerca de este procedimiento
Respondedor en línea de Microsoft devuelve un valor desconocido para todos los certificados que se emiten, pero todavía no en el archivo que se creó en el paso 6. Esta secuencia de comandos se debe ejecutar de manera periódica y actualiza en orden para el Respondedor en línea de Microsoft proporcionar un estado actualizado. Este valor de intervalo dependerá del entorno de implementación específicas. Se recomienda seleccionar un intervalo adecuado en cualquier lugar desde cuatro horas al valor de la siguiente CRL fecha de publicación.
Paso 2: registro
Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.
-
Cierre todas las aplicaciones de Windows.
-
Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
-
Busque y seleccione la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Haga clic en la entidad emisora de certificados (CA) para el que creó la estructura de directorios.
-
Haga clic en El nodo de proveedor, seleccione nuevoy, a continuación, haga clic en Valor de cadena múltiple.
-
Escriba IssuedSerialNumbersDirectoriesy, a continuación, presione ENTRAR.
-
Haga clic en IssuedSerialNumbersDirectoriesy, a continuación, haga clic en Modificar.
-
En el cuadro información del valor , escriba la ruta de acceso al directorio que creó en el paso 3 del procedimiento de estructura de directorio y que contiene los números de serie emitidos y, a continuación, haga clic en Aceptar.
La ruta de directorio, utilice el siguiente formato:\\<computername>\<directorylocation>Por ejemplo, utilice una ruta de acceso similar al siguiente:
\\contoso-ocspfileserver\SerialNumbers
-
En el menú Archivo, haga clic en Salir para salir del Editor del registro.
-
Instale el paquete de hotfix que se menciona en este artículo.
Después de seguir la "Estructura de directorio" y los pasos de "Registro", instale el paquete de hotfix que se menciona en este artículo.
Resultados
Después de instalar el hotfix, el servicio Respondedor en línea debe hacer lo siguiente:
-
Devolver un valor del bien para los certificados que se comprueban
-
Devolver un valor de REVOCADOS de los certificados que se incluyen en la lista CRL
-
Devolver un valor desconocido para todos los otros certificados que no se puede comprobar
Información de la revisión
Hay una revisión compatible de Microsoft Support. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.
Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar este hotfix, debe tener Service Pack 1 para Windows 7 o Windows Server 2008 R2 instalado.
Requisito de reinicio
No es necesario que reinicie el equipo después de aplicar este hotfix.
Información de reemplazo de revisión
Esta revisión no sustituye cualquier revisión lanzada anteriormente.
La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Notas e información de archivo de Windows 7 y Windows Server 2008 R2Importante: Correcciones urgentes de Windows 7 y Windows Server 2008 R2 se incluyen en los mismos paquetes. Sin embargo, las revisiones en la página solicitud de revisión se enumeran en ambos sistemas operativos. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece bajo "Windows 7/Windows Server 2008 R2" en la página. Siempre hacen referencia a la sección "Aplicable a" de los artículos para determinar el sistema operativo real que se aplica cada revisión.
-
Los archivos que se aplican a un producto específico, SR_Level (RTM, SPn) y servicio (LDR, GDR) se pueden identificar examinando los números de versión de archivo como se muestra en la siguiente tabla.
Versión
Producto
SR_Level
Tipo de servicio
6.1.760
1. 22xxxWindows 7 y Windows Server 2008 R2
SP1
LDR
-
Servicio GDR contienen sólo aquellas correcciones de amplia distribución para solucionar problemas extendidos muy importantes. Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.
-
Los archivos MANIFEST (.manifest) y los archivos MUM (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información de archivo adicional para Windows 7 y Windows Server 2008 R2". MUM y los archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son extremadamente importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x86 compatibles de Windows 7
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
Requisito de SP |
Tipo de servicio |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ninguno |
No aplicable |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Para todas las versiones basadas en x64 compatibles de Windows 7 y Windows Server 2008 R2
|
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
Requisito de SP |
Tipo de servicio |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Ninguno |
No aplicable |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ninguno |
No aplicable |
Información adicional de archivos para Windows 7 y Windows Server 2008 R2
Archivos adicionales para todas las versiones basadas en x86 compatibles de Windows 7
|
Propiedad de archivo |
Valor |
|---|---|
|
Nombre del archivo |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
720 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
719 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
63,628 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
07:59 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
11,236 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
08:00 |
|
Plataforma |
No aplicable |
Archivos adicionales para todas las versiones compatibles basadas en x64 de Windows 7 y Windows Server 2008 R2
|
Propiedad de archivo |
Valor |
|---|---|
|
Nombre del archivo |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
723 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
721 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
724 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
63,632 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
08:30 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
11,240 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
08:30 |
|
Plataforma |
No aplicable |
|
Nombre del archivo |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versión del archivo |
No aplicable |
|
Tamaño de archivo |
63,628 |
|
Fecha (UTC) |
30-May-2014 |
|
Hora (UTC) |
07:59 |
|
Plataforma |
No aplicable |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Esta revisión proporciona un cambio de diseño que hace que el contestador de OCSP de Microsoft conscientes de todos los certificados que lo siguiente es cierto:
-
Son emitidos por la CA.
-
No se revocan.
-
Están actualmente en su propio período de validez.
Referencias
Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.
