Töötate praegu ühenduseta, ootame Interneti-ühenduse taasloomist

DigestInfo puudub a kiirendama allkirja algoritmi SHA-1 kasutamisel

NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.

Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 3080171
Sümptomid
Certutil.exe tööriist, et kontrollida serdi allkirjastamise taotlused (CSR), certutil.exe tagastab kasutamisel alla järgmise teate, isegi kui CSRs sisaldavad onlya räsiväärtus (ilma DigestInfo ASN.1 struktuuriga):
Allkiri vastab avalik võti

Märkused
  • Certutil.exe tuleks kinnitada CSRs ainult allkirjastatud hash väärtusega, sest arvatav DigestInfo ASN.1 struktuur sisaldab rohkem kui ainult hash andmeid.
  • Muude tööriistade openssl, näiteks tähistada CSRs kehtetuks.
See probleem ilmneb siis, kui SHA-1 kasutatakse allkirja algoritmi, nagu "1.2.840.113549.1.1.5 sha1RSA."

Kui vastutuse kirjutatakse, kasutades SHA-2, nagu "1.2.840.113549.1.1.11 sha256RSA," certutil.exe tagastab arvatav järgmine tõrketeade:

0XC000A000 (NT: 0XC000A000 STATUS_INVALID_SIGNATURE)

Märkus. See probleem on allkirju, mis on loodud SHA-1.
Põhjus
Selle probleemi põhjuseks erinevaid meetodeid, et CAPI2uses suhelda aluseks komponentide CryptoAPI pinu. Meetodid on järgmised:
  • KAPI 2 kasutab pärand krüptograafia API 1 (kapi 1) SHA-1 ja kapi 1allows on DigestInfo puudu olla.
  • KAPI 2 kasutab krüptograafia API järgmise põlvkonna (CNG) SHA-2 ja CNG ei võimalda DigestInfo puudub.
Märkus Kuigi see artikkel kirjeldab ainult certutil.exe kasutamisel ilmnevate probleemide, mis tahes rakendus, mis kasutab CryptoAPI töötab täpselt nii, nagu certutil.exe ei.
Lisateave

Vastutuse, mis on allkirjastatud kontrollimine "1.2.840.113549.1.1.5 sha1RSA" ja ilma DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 88 fc ea 9b cb 35 17 b8 3c 4a be e1 c9 94 23 e3 00f0 71 5c 8f 81 5f 24 bd af 4b 00 ea e2 b4 08 6f 3f Signature matches Public Key Key Id Hash(rfc-sha1): b3 1c 76 1c d9 67 d2 8d 62 15 4a 1c 47 4d dd a6 65 03 9d 5d Key Id Hash(sha1): fb b1 8f 14 39 5c fb 63 81 90 56 e8 37 e1 9b bd e2 a6 79 64 CertUtil: -dump command completed successfully. 

Vastutuse, mis on allkirjastatud kontrollimine "1.2.840.113549.1.1.11 sha256RSA" ja ilma DigestInfo:

PKCS10 Certificate Request: Version: 1 Subject: CN=Test User Signature Algorithm: Algorithm ObjectId: 1.2.840.113549.1.1.11 sha256RSA Algorithm Parameters: 05 00 Signature: UnusedBits=0 0000 2c 23 b3 36 f4 10 10 94 99 02 95 8f 64 1d 71 0c 00f0 6c f4 13 ae 0e 6b b1 ef c4 1e 10 c0 1f 34 4d 16 Signature does not match Public key: c000a000 Cannot decode object: The cryptographic signature is invalid. 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: -dump command FAILED: 0xc000a000 (NT: 0xc000a000 STATUS_INVALID_SIGNATURE) CertUtil: The cryptographic signature is invalid. 


Hoiatus. See artikkel on masintõlgitud.

Atribuudid

Artikli ID: 3080171 – viimati läbi vaadatud: 12/03/2015 10:30:00 – redaktsioon: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Essentials, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1

  • kbsurveynew kbexpertiseadvanced kbprb kbtshoot kbmt KB3080171 KbMtet
Tagasiside
//c1.microsoft.com/c.gif?DI=4050&did=1&t=">&t=">=1&t=">