Sümptomid
Kujutage ette järgmist stsenaariumi.
-
Teil on serveris, kus töötab Windows Server 2008 R2 või Windows Server 2012 R2 installitud Microsoft Online vastaja teenus.
-
Server saab konfigureerida ja hallata Sertifikaadi staatus protokoll (OCSP) valideerimise.
Selle stsenaariumi puhul ei tagasta Online vastaja teenuse tarkadeks väärtus hea kõik sertifikaadid, mida ei sisalda klõpsake sertide tühistamise nimekiri (CRL).
Põhjus
See probleem ilmneb seetõttu OCSP mitte kontrollida kinnitatud allikas et serdi väljastas tegelikult oma vastavate sertimisorgan. Selle asemel kui serti ei sisaldu CRL, Online vastaja teenus eeldab, et sertifikaat on kehtiv ja tagastab väärtuse hea.
Lahendus
Windows 8.1 või Windows Server 2012 R2 probleemi lahendamiseks installige värskendus 2967917. Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
2967917 juuli 2014 värskenduskomplekt Windows RT 8.1, Windows 8.1 ja Windows Server 2012 R2
Windows 7 või Windows Server 2008 R2 probleemi lahendamiseks installige käigultparandus, mida kirjeldatakse käesoleva artikli jaotises "Käigultparanduse teave".
Enne selle kiirparanduse installimist peate konfigureerima OCSP teenuse lugeda seerianumbrid, välja antud serte. Selleks järgige selles jaotises luua kataloogi asukoht, kus seerianumber faile salvestada ja luua registrivõtmed, mis viitavad selles kataloogis.
Märkused
-
Kataloogi saab asub ühiskasutusega võrgukohta või majutatud kohalikus arvutis. Kui massiiv konfiguratsiooni soovitame host directory ühiskasutusega võrgukohta, et kõik massiivi liikmed võivad "lugenud" seda.
-
Olenemata sellest, kus asub kataloog, veenduge, et OCSP teenus on kataloog lugemisõigust. Mis tahes Microsoft Online ravile, mis seda käigultparandust ei paigatud registrisätteid ei kehti.
Konfigureerige OCSP teenuse
Mille olete konfigureerinud OCSP teenuse sertimisorgan arvutis käivituda toimige järgmiselt.
1. samm: Kataloogide struktuur
-
Käivitage Notepad ja kleepige järgmine proov skripti uus dokument:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Salvestage uus dokument certs.ps1.
-
Looge kaust, kus on tühi faile, mis vastavad kõik väljastatud serial numbrid salvestada.
-
Käivitage skript Certs.ps1. Selleks käivitage Windows PowerShellis järgmine käsk:
Certs.ps1 < 3. juhises loodud kausta asukoht >
-
Uurida kataloog, mis juhises 3 Veenduge, et failid vastavad väljastatud seerianumbrid loodud.
Märkus. Kui teil on mitu CAs majutatud oma keskkonnas, veenduge, et nende vastav seerianumber kataloogid erinevad. Jaga vahel erinevad CAs samas kataloogis. -
Skripti käivitada arvutis CA ja anna seda piiravad ACL salvestatud faili üles laadida. Fail peaks ei saa redigeerida. Veenduge, et Microsoft Online vastaja arvutil on juurdepääs sellele asukohale.
Lisateabe saamiseks selle toimingu kohta
Microsoft Online vastaja tagastab väärtuse teada kõik sertifikaadid, mis on välja antud, kuid veel toiminguga 6 loodud failis. See skript tuleb käivitada regulaarsete ja värskendada Microsoft Online vastaja pakkuda ajakohaseid olek selleks. Selle intervalli sätte sõltub konkreetse juurutamise keskkond. Soovitame valida järgmise CRL-i väärtuse kuskil neli tundi sobiv intervall, avaldamise kuupäev.
Samm 2: registri
Hoiatus! Kui muudate registrit registriredaktori või mõne muu meetodi abil valesti, võivad ilmneda tõsised probleemid. Nende probleemide tõttu peate opsüsteemi uuesti installima. Microsoft ei garanteeri, et neid probleeme saab lahendada. Muudate registrit omal vastutusel.
-
Sulgege kõik Windowsi rakendused.
-
Klõpsake nuppu Start, käsku Käivita, tippige regeditja klõpsake OK.
-
Leidke ja valige järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Klõpsake kataloogi struktuuri lõite sertimiskeskus (CA).
-
Paremklõpsake Tarnija sõlme, käsku Uusja klõpsake Mitmest stringist koosnev väärtus.
-
Tippige IssuedSerialNumbersDirectoriesja seejärel vajutage sisestusklahvi Enter.
-
Paremklõpsake IssuedSerialNumbersDirectoriesjaja seejärel klõpsake nuppu muuta.
-
Tippige väljale Value data tee kataloogi kataloog struktuuri protseduuri juhises 3 loodud ja mis sisaldab antud seerianumbrid ja klõpsake nuppu OK.
Kausta tee, kasutage järgmist vormingut:\\<computername>\<directorylocation>Kasutage näiteks tee, mis sarnaneb järgmisega:
\\contoso-ocspfileserver\SerialNumbers
-
Klõpsake menüü Fail käsku Välju, et registriredaktorist väljuda.
-
Installige selles artiklis kirjeldatud kiirparanduspaketi.
Pärast "Kataloogi struktuuri" ja "Register" sammud, installige selles artiklis mainitud kiirparanduspaketi.
Tulemused
Pärast käigultparanduse installimist Online vastaja teenus peaks tehke järgmist.
-
Väärtuse hea sertifikaadid, mis on kinnitatud
-
Tagastab väärtuse tühistatud serdid, mis ei sisaldu CRL
-
Tagastab väärtuse teada kõik sertifikaadid, mida ei saa kontrollida
Kiirparanduse teave
Kiirparandus on saadaval Microsoft Support. See kiirparandus on ette nähtud üksnes käesolevas artiklis kirjeldatud probleemi lahendamiseks. Kasutage seda kiirparandust ainult selles artiklis kirjeldatud probleemiga süsteemide. Seda kiirparandust võidakse täiendavalt testida. Seega, kui probleem teid tõsiselt ei kahjusta, soovitame oodata järgmist tarkvaravärskendust, mis sisaldab seda kiirparandust.
Kui kiirparandus on allalaadimiseks saadaval, on selle teabebaasi artikli alguses "Kiirparandus on allalaadimiseks saadaval" sektsiooni. Kui seda jaotist ei ole, kontakteeruge vastava kiirparanduse hankimiseks Microsofti klienditeeninduse ja toega.
Märkus. Kui ilmneb veel probleeme või kui on tarvis teha tõrkeotsing, peate looma eraldi tugiteenuse taotluse. Tavapärane tugiteenuse tasu kehtib täiendavatele tugiteenustega seotud küsimustele ning probleemidele, mis pole lahendatavad konkreetse kiirparandusega. Täieliku loetelu Microsofti klienditeeninduse ja -toe telefoninumbrite või eraldi tugiteenuse taotluse loomiseks külastage järgmist Microsofti veebisaiti:
http://support.microsoft.com/contactus/?ws=supportMärkus. "Kiirparandus on allalaadimiseks saadaval" vormil kuvatakse keeled, mille jaoks kiirparandus on saadaval. Kui te ei näe oma keelt, ei ole kiirparandus selles keeles saadaval.
Eeltingimused
Selle kiirparanduse rakendamiseks peab olema Service Pack 1 , Windows 7 või Windows Server 2008 R2 installida.
Taaskäivitamise nõue
Te ei pea pärast selle kiirparanduse rakendamist arvutit taaskäivitama.
Kiirparanduse asendamise teave
See kiirparandus ei asenda ühtegi varem välja antud Kiirparandusi.
Selle kiirparanduse ingliskeelne (Ameerika Ühendriikide) versioon installib järgmistes tabelites loetletud atribuutidega failid. Kuupäevad ja kellaajad nendele failidele on loetletud koordineeritud maailmaaja järgi (UTC). Kuupäevad ja kellaajad nende failide jaoks kuvatakse teie arvutis kohaliku aja järgi, arvestades praegust suveaega. Lisaks võivad kuupäevad ja kellaajad muutuda, kui teete failidega teatud toiminguid.
Windows 7 ja Windows Server 2008 R2 failiteave ja märkusedNB! Windows 7 ja Windows Server 2008 R2 käigultparandused on kaasatud samades pakettides. Siiski on kiirparanduse taotluse lehel on Kiirparandused loetletud mõlema operatsioonisüsteemi all. Ühele või mõlemale operatsioonisüsteemile kehtiva kiirparanduspaketi taotlemiseks valige kiirparandus, mis on loetletud leheküljel "Windows 7/Windows Server 2008 R2". Vaadake alati artiklites jaotist "Kehtib järgmiste toodete kohta", et teha kindlaks, millisele tegelikule operatsioonisüsteemile iga kiirparandus kehtib.
-
Failid, mida kohaldatakse konkreetse toote, SR_Leveli (RTM, SPn), ja teenuseharu (LDR, GDR) saab tuvastada failiversiooni numbri järgi vastavalt järgmisele tabelile.
Versioon
Toode
SR_Level
Teenuseharu
6.1.760
1. 22xxxWindows 7 ja Windows Server 2008 R2
SP1
LDR-I
-
GDR sisaldavad üksnes parandusi, mis lastakse välja ulatuslikult levinud äärmiselt oluliste probleemide. LDR-i teenuseharud sisaldavad peale ulatuslikult väljalastavate paranduste ka kiirparandusi.
-
MANIFEST-failid (.manifest) ja MUM-failid (.mum) on paigaldatud iga keskkonna puhul on loetletud eraldi jaotises "Lisafailiteave Windows 7 ja Windows Server 2008 R2". MUM- ja MANIFEST-failid ning ning nendega seotud Turbekataloogi failid (.cat), on värskendatavate komponentide oleku säilitamiseks äärmiselt olulised. Turbekataloogifailid, mille atribuudid on nimetamata, on allkirjastatud Microsofti digitaalallkirjaga.
Kõik toetatud Windows 7 x86-põhised versioonid
Faili nimi |
Faili versioon |
Faili maht |
Kuupäev |
Aeg |
Platvorm |
Nõutav hoolduspakett |
Teenuseharu |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ükski |
Pole rakendatav |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Kõik toetatud Windows 7 ja Windows Server 2008 R2 x64-põhised versioonid
Faili nimi |
Faili versioon |
Faili maht |
Kuupäev |
Aeg |
Platvorm |
Nõutav hoolduspakett |
Teenuseharu |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Ükski |
Pole rakendatav |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ükski |
Pole rakendatav |
Lisafailiteave Windows 7 ja Windows Server 2008 R2
Kõigi toetatud Windows 7 x86-põhiste versioonide lisafailid
Faili atribuut |
Väärtus |
---|---|
Faili nimi |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
720 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
13:22 |
Platvorm |
Pole rakendatav |
Faili nimi |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
719 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
13:22 |
Platvorm |
Pole rakendatav |
Faili nimi |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
63,628 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
07:59 |
Platvorm |
Pole rakendatav |
Faili nimi |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
11 236 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
08:00 |
Platvorm |
Pole rakendatav |
Lisafailid kõigi toetatud Windows 7 ja Windows Server 2008 R2 x64-põhised versioonid
Faili atribuut |
Väärtus |
---|---|
Faili nimi |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
723 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
13:22 |
Platvorm |
Pole rakendatav |
Faili nimi |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
721 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
13:22 |
Platvorm |
Pole rakendatav |
Faili nimi |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
724 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
13:22 |
Platvorm |
Pole rakendatav |
Faili nimi |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
63,632 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
08:30 |
Platvorm |
Pole rakendatav |
Faili nimi |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
11,240 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
08:30 |
Platvorm |
Pole rakendatav |
Faili nimi |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Faili versioon |
Pole rakendatav |
Faili maht |
63,628 |
Hoiatus. |
30-May-2014 |
Täiendav failiteave |
07:59 |
Platvorm |
Pole rakendatav |
Olek
Microsoft on kinnitanud, et see probleem esineb jaotises "Kehtib järgmiste toodete kohta" loetletud Microsofti toodetel.
Lisateabe saamiseks
Selle käigultparanduse pakub kujunduse muutmise, mis muudab Microsoft OCSP vastaja teadlikud kõik serdid, mida järgnevalt on tõsi:
-
Annavad välja CA.
-
Nad on tühistatud.
-
Need on praegu oma kehtivusaeg.
Viited
Teave selle terminoloogia Microsofti tarkvaravärskenduste iseloomustamiseks.