Existen dos mejoras que disminuya el tiempo que se requiere para administrar certificados SCEP mediante el servicio de inscripción de dispositivos de red en Windows Server 2008

Se aplica a: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

Síntomas


En Windows Server 2008, intenta administrar certificados de protocolo de inscripción de certificados Simple (SCEP) mediante el servicio de inscripción de dispositivos de red (NDES). El NDES se instala como parte de los servicios de Certificate Server en Windows Server 2008. En este escenario, experimenta los problemas siguientes:

Problema 1

No se puede reutilizar las contraseñas entre los dispositivos.

Basado en el protocolo SCEP, un dispositivo es necesario para enviar una contraseña cuando solicita un certificado desde un servidor SCEP por primera vez. El servidor SCEP emite un certificado después de validar la contraseña.

El proceso mediante el cual el servidor SCEP emite un certificado después de validar la contraseña es la siguiente:
  1. El administrador inicia sesión en un sitio Web de administración de SCEP y solicita una contraseña.
  2. El servidor SCEP genera una contraseña aleatoria, lo almacena en la caché y, a continuación, muestra la contraseña para el administrador.
  3. El administrador configura la contraseña en el dispositivo.
  4. El dispositivo envía esta contraseña en la solicitud inicial de un certificado.

    Nota: Esta contraseña caduca en 60 minutos.
  5. El servidor emite el certificado y, a continuación, quita la contraseña de la caché. La contraseña ya no puede utilizarse con otros dispositivos.
Problema 2

Certificados SCEP no pueden volver a inscribirse automáticamente después de su caducidad.

Debido a estos dos problemas, tardará administradores mucho tiempo a solicitud de las contraseñas para todos los dispositivos y aplicar certificados SCEP a ellos.

Solución


Para resolver estos dos problemas, instale la revisión 959193. Esta revisión incluye las siguientes mejoras de dos:

Mejora 1

Después de aplicar este hotfix, pueden reutilizar las contraseñas entre los dispositivos. El nuevo proceso para administrar las contraseñas es el siguiente:
  1. El servidor SCEP confirma la configuración del registro para el modo de "Contraseña única". En este modo, una contraseña maestra es creada y almacenada en el registro mediante datos cifrados. Nunca caduca la contraseña maestra.
  2. Un administrador inicia sesión en un sitio Web de administración de SCEP y solicita una contraseña. Se envía la contraseña maestra.
  3. El administrador configura la contraseña en el dispositivo. Puesto que la contraseña es la misma para todos los dispositivos y nunca caduca, el administrador puede escribir fácilmente una secuencia de comandos para implementar la contraseña en todos los dispositivos.
Cómo habilitar mejora 1

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows

Para habilitar esta característica, cree la entrada de registro siguiente:
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

Nota: Si está ejecutando NDES bajo la cuenta servicio de red, debe conceder el permiso Control total a la cuenta de "Servicio de red" bajo la siguiente subclave del registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Mejora 2

Los certificados pueden volver a inscribirse automáticamente después de su caducidad. Esta característica se habilita automáticamente después de instalar la revisión.

De forma predeterminada, cuando se solicita una renovación de certificado mediante esta característica, el certificado del firmante debe tener el mismo nombre de asunto y el nombre de sujeto alternativo como el certificado solicitado. Para sortear este requisito, establezca el valor de la entrada de registro DisableRenewalSubjectNameMatch bajo la siguiente subclave en 1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

Nota: Tendrá que crear esta entrada del registro con el tipo REG_DWORD si la entrada del registro no existe.

Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Revisiones importantes de Windows Vista y Windows Server 2008 se incluyen en los mismos paquetes. Sin embargo, sólo uno de estos productos puede aparecer en la página "Solicitud de revisión". Para solicitar el paquete de revisiones que se aplica a Windows Vista y Windows Server 2008, seleccione el producto que aparece en la página.

Requisitos previos

No hay ningún requisito previo.

Requisito de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Este hotfix no sustituye a otras revisiones publicadas anteriormente.

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria en el elemento de Fecha y hora del Panel de control.
Notas sobre la información de archivo de Windows Server 2008
Los archivos .manifest y .mum instalados en cada entorno están enumerados por separado en la sección "información adicional de archivos para Windows Server 2008". Estos archivos y sus archivos asociados .cat (catálogo de seguridad) son esenciales para el mantenimiento del estado del componente actualizado. Los archivos .cat están firmados con una firma digital de Microsoft. No se enumeran los atributos de estos archivos de seguridad.

Para todas las versiones basadas en x86 compatibles de Windows Server 2008
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
Para todas las versiones basadas en x64 compatibles de Windows Server 2008
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información


Para obtener más información acerca de SCEP, visite el siguiente Web de borradores de Internet (IETF) sitio Web:

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Tenga en cuenta que este documento caduca el 25 de julio de 2009. Para obtener información después de esta fecha, busque "SCEP" en la página principal del sitio Web.

Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.


Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft


Información adicional de archivos para Windows Server 2008

Para todas las versiones basadas en x86 compatibles de Windows Server 2008
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable13,17218-Jan-200901:10No aplicable
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1.42318-Jan-200901:10No aplicable
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable13,64718-Jan-200901:10No aplicable
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mumNo aplicable1,43118-Jan-200901:10No aplicable
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifestNo aplicable43,47517-Jan-200907:10No aplicable
Para todas las versiones basadas en x64 compatibles de Windows Server 2008
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifestNo aplicable43,50517-Jan-200909:42No aplicable
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable13,28418-Jan-200901:10No aplicable
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1,43118-Jan-200901:10No aplicable
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable13,76318-Jan-200901:10No aplicable
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mumNo aplicable1.43918-Jan-200901:10No aplicable