Saatavana on päivitys, jonka avulla järjestelmänvalvojat voivat päivittää luotettujen ja evättyjen luotettujen varmenteiden luetteloita (CTL) katkaistuissa ympäristöissä Windowsissa

Yhteenveto

Tämä ohjelmistopäivitys lisää Windowsiin seuraavat parannukset:
  • Järjestelmänvalvojat voivat nyt määrittää toimialueeseen liitetyt tietokoneet käyttämään automaattista päivitysominaisuutta sekä luotetuille että evätyille luotettujen varmenteiden luetteloille (CTL-luetteloille). Tietokoneet voivat käyttää automaattista päivitysominaisuutta Windows Update -sivustoa käyttämättä.
  • Järjestelmänvalvojat voivat määrittää toimialueeseen liitetyt tietokoneet valitsemaan erikseen luotetut ja evätyt luotettujen varmenteiden luettelot (CTL-luettelot) käyttämällä automaattista päivitysominaisuutta.




  • Järjestelmänvalvojat voivat tutkia Microsoftin päävarmenneohjelman (Microsoft Root Certificate Program) luotettujen päämyöntäjien (CA) joukkoa.
Lisätietoja näistä muutoksista ja parannuksista on seuraavalla Microsoftin verkkosivulla:

Tietoihin liittyviä edellytyksiä

Tämä KB-artikkeli on tarkoitettu julkisen avaimen infrastruktuurin (PKI) järjestelmänvalvojille, joilla on perustiedot ryhmäkäytännöistä, kolmannen osapuolen päävarmenteiden päivityksistä, ei-luotetuista varmenteista ja evättyjen varmenteiden luetteloista. Tämä KB-artikkeli on tarkoitettu myös PKI-järjestelmänvalvojille, jotka voivat muokata yksinkertaisia ADM/ADMX-tiedostoja käytäntöjen käyttöönottoa varten ryhmäkäytännön päivitysapuohjelmaa käyttämällä. Lisätietoja ADMX-tiedostojen käytöstä on ryhmäkäytäntöjen ADMX-tiedostojen hallinnan vaiheittaisessa oppaassa.

Tausta

Windowsin päävarmenneohjelman avulla luotettuja päävarmenteita voi jakaa automaattisesti Windowsissa. Lisätietoja Windowsin päävarmenneohjelman jäsenluettelosta on seuraavassa Microsoft-sivustossa: Luotettuja päävarmenteita voi jakaa seuraavilla tavoilla:
  1. Automaattinen: Asiakkaat voivat ladata tai päivittää luotettuja päävarmenteita käyttämällä automaattista päivitystä. Luotettujen päävarmenteiden luettelo on tallennettu luotettujen varmenteiden luetteloon (CTL-luetteloon) Windows Update -palvelimissa.
  2. Manuaalinen: Käyttäjät voivat ladata luotettujen päävarmenteiden luettelon automaattisesti purkautuvana IEXPRESS-pakettina Microsoft Download Centeristä, Windows Catalogista ja Microsoft Windows Server Update Servicesistä (WSUS). IEXPRESS-paketti julkaistaan samaan aikaan kuin luotettujen varmenteiden luettelo (CTL).
Lisätietoja päävarmenteiden jakelutavoista on seuraavassa Microsoftin sivustossa:
Windowsin päävarmenneohjelman jäsenet (Tämä artikkeli saattaa olla englanninkielinen)
Ei-luotettuja päävarmenteita (varmenteita, joiden tiedetään olevan väärennettyjä) voi jakaa seuraavilla tavoilla:
  1. Automaattinen: Asiakkaat voivat ladata tai päivittää ei-luotettuja päävarmenteita käyttämällä automaattista päivitystä. Ei-luotettujen päävarmenteiden luettelo on tallennettu ei-luotettujen varmenteiden luetteloon (ei-luettujen varmenteiden CTL-luettelo) Windows Update -palvelimissa. Lisätietoja ei-luotettujen päävarmenteiden lataamisesta automaattisesti on seuraavassa Microsoftin sivustossa:
  2. Manuaalinen: Käyttäjät voivat ladata ei-luotettujen varmenteiden luettelon automaattisesti purkautuvana IEXPRESS-pakettina Windows Updatesta. IEXPRESS-paketti julkaistaan kaksi viikkoa ei-luotetun CTL-luettelon julkaisun jälkeen.
Huomautus Luotettujen ja ei-luotettujen päävarmenteiden automaattinen päivitysmekanismi on samanlainen. Voit poistaa automaattisen päivityksen mekanismin käytöstä molemmilta varmennetyypeiltä käyttämällä samaa rekisteriasetusta. Lisätietoja on kohdassa Päävarmenteiden päivitysominaisuuden hallitseminen tietojen Internetiin siirtämisen ja Internetistä siirtämisen estämiseksi.

Jos hallitset omaa luotettujen päävarmenteiden joukkoa, sinun kannattaa poistaa luotettujen varmenteiden luettelon (CTL) automaattinen päivitysmekanismi käytöstä.

Tunnetut ongelmat

Ennen tämän ohjelmistopäivityksen asentamista saatat havaita seuraavia ongelmia varmenteita hallitessasi:
  • Luotettujen tai ei-luotettujen päävarmenteiden päivittäminen ympäristössä, jonka yhteydet on katkaistu, edellyttää tämän KB-artikkelin Tausta-kohdassa kuvattujen IEXPRESS-pakettien käyttämistä. IEXPRESS-paketit on tällöin asennettava manuaalisesti. Pyrimme julkaisemaan nämä paketit samaan aikaan CTL-luetteloiden jakelun kanssa, mutta IEXPRESS-pakettien julkaisussa voi esiintyä pieniä viiveitä. 

    Huomautus Katkaistulla ympäristöllä tarkoitetaan seuraavien olosuhteiden alaista ympäristöä:
    • Suora yhteys Windows Updateen on estetty.
    • Luotettujen ja ei-luotettujen varmenteiden luetteloiden (CTL-luetteloiden) automaattinen päivitysmekanismi on poistettu käytöstä.
  • Et voi poistaa erikseen käytöstä luotettujen ja ei-luotettujen varmenteiden luetteloiden (CTL-luetteloiden) automaattista päivitysmekanismia. Tarkemmin ottaen voit poistaa käytöstä automaattisen päivitysmekanismin vain sekä luotettujen että ei-luotettujen varmenteiden luetteloiden (CTL-luetteloiden) osalta.

    Huomautus Suosittelemme, että järjestelmänvalvojat, jotka hallitsevat omia luotettujen päävarmenteiden luetteloita, poistavat luotettujen varmenteiden luetteloiden (CTL) automaattiset päivitykset käytöstä. Emme kuitenkaan suosittele, että järjestelmänvalvojat poistavat ei-luotettujen varmenteiden luetteloiden (CTL-luetteloiden) automaattisen päivityspalvelun käytöstä.
  • Käyttäjille, jotka hallitsevat omia luotettujen päävarmenteiden luetteloita, ei ole olemassa mekanismia, jonka avulla voi helposti tarkastella päävarmenneohjelman päävarmenteita ja päättää, mihin varmenteisiin tulisi luottaa.

Ratkaisu

Uusi ohjelmistopäivitys sisältää seuraavat korjaukset, jotka korvaavat tämän KB-artikkelin Ongelman kuvaus -osassa kuvattuja ongelmia.
  • Tämä ohjelmistopäivitys lisää Windowsiin seuraavat ominaisuudet, joiden avulla voit käyttää automaattista päivitysmekanismia ympäristöissä, joiden yhteydet on katkaistu:
    1. Uusi rekisteriasetus: Rekisteriasetuksen avulla voit muuttaa luotettujen ja ei-luotettujen varmenneluetteloiden URL-sijaintia Windows Updatesta organisaation tiettyyn jaettuun resurssiin. Sekä FILE- että HTTP-rakenteita tuetaan tässä rekisteriasetuksessa. Lisätietoja tästä rekisteriasetuksesta on tämän KB-artikkelin Rekisteriavaimet-kohdassa.

      Huomautus Jos muutat URL-sijainnin paikalliseksi kansioksi, sinun on synkronoitava paikallinen jaettu kansio yhdessä Windows Update -kansion kanssa.
    2. Uusia vaihtoehtoja Certutil-työkalussa: Nämä vaihtoehdot tarjoavat käyttöösi lisää menetelmiä kansioiden synkronointia varten. Lisätietoja vaihtoehdoista on tämän KB-artikkelin kohdassa Certutil-työkalun uudet valitsimet.
  • Tämä ohjelmistopäivitys poistaa luotettujen ja ei-luotettujen varmenteiden luetteloiden (CTL-luetteloiden) automaattisen päivityksen toisiinsa kytkennän. Kun olet ottanut päivityksen käyttöön, voit esimerkiksi käyttää rekisteriavainta ainoastaan luotettujen päävarmenteiden automaattisen päivitysmekanismin käytöstä poistamiseen. Lisätietoja rekisteriavaimista on tämän KB-artikkelin Rekisteriavaimet-kohdassa.
  • Tämä ohjelmistopäivitys lisää työkalun, jonka avulla järjestelmänvalvojat voivat tarkastella luotettujen päävarmenteiden joukkoa Microsoftin päävarmenneohjelmassa (Microsoft Root Certificate Program). Tämä työkalu on tarkoitettu järjestelmänvalvojille, jotka hallitsevat luotettujen päävarmenteiden joukkoa yritysympäristöissä. Järjestelmänvalvoja voi käyttää tätä työkalua luotettujen päävarmenteiden joukon valitsemiseen, viedä ne sarjoitettuun varmennekauppaan ja jakaa niitä ryhmäkäytännön avulla. Lisätietoja on tämän KB-artikkelin kohdassa Certutil-työkalun uudet valitsimet.

Päivitystiedot

Voit ladata seuraavat tiedostot Microsoft Download Centeristä:


Kaikki tuetut Windows Vistan x86-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Vistan x64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Server 2008:n x86-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Server 2008:n x64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Server 2008:n IA-64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows 7:n x86-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows 7:n x64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Embedded Standard 7:n x86-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut x64-pohjaisten järjestelmien Windows Embedded Standard 7:n x64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Server 2008 R2:n x64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Server 2008 R2:n IA-64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows 8:n x86-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows 8:n x64-versiot

Lataa Lataa paketti nyt.

Kaikki tuetut Windows Server 2012 -versiot

Lataa Lataa paketti nyt.
Julkaisupäivämäärä: 11.6.2011

Lisätietoja Microsoft-tukitiedostojen lataamisesta ja asentamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
119591 Microsoft-tukitiedostojen hankkiminen online-palveluista
Microsoft on tarkistanut tämän tiedoston virusten varalta. Microsoft käytti viimeisintä virustentarkistusohjelmaa, joka oli saatavana tiedoston julkaisupäivänä. Tiedosto on tallennettu suojattuihin palvelimiin, joten sitä ei voi muokata luvattomasti.

Uudelleenkäynnistysvaatimus

Sinun on käynnistettävä tietokone tämän hotfix-korjauksen asentamisen jälkeen.

Hotfix-korjauksen korvaamistiedot

Tämä hotfix-korjaus korvaa hotfix-korjauksen 2661254.






Tiedostojen hajautustiedot

Tiedostojen tiedot

Tämän hotfix-korjauksen yleinen versio asentaa tiedostot, joiden tiedostomääritteet on lueteltu seuraavissa taulukoissa. Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kyseisten tiedostojen päivämäärät ja ajat näytetään paikallisessa tietokoneessa paikallisen ajan ja kesäajan asetuksen mukaisina. Lisäksi päivämäärät ja ajat saattavat muuttua, kun tiedostoille tehdään tiettyjä toimintoja.
Windows Vistan ja Windows Server 2008:n tiedostojen tiedot
Windows 7:n ja Windows Server 2008 R2:n tiedostojen tiedot
Windows 8:n ja Windows Server 2012:n tiedostojen tiedot

Muutosten tekniset tiedot

Certutil-työkalun uudet valitsimet

SyncWithWU
Tätä valitsinta käytetään kohdehakemiston synkronoimiseen Windows Update -sivuston kanssa. Valitsimen syntaksi on seuraava:
CertUtil [valinnat] -syncWithWU  Kohdehakemisto 

Huomautus Kohdehakemisto on kansio, johon tiedostot kopioidaan. Kun suoritat komennon, seuraavat tiedostot kopioidaan Windows Updatesta:
  • Authrootstl.cab: Sisältää kolmansien osapuolten päävarmenteiden CTL-luettelon.
  • Disallowedcertstl.cab: Sisältää evättyjen varmenteiden CTL-luettelon.
  • Disallowedcert.sst: Sisältää evätyt varmenteet.
  • Thumbprint.crt: Kolmannen osapuolen päävarmenteet.
Voit esimerkiksi synkronoida kohdekansion Windows Update -sivuston kanssa suorittamalla seuraavan komennon:
CertUtil -syncWithWU \\tietokoneen_nimi\resurssin_nimi\Kohdekansio 
GenerateSSTFromWU
Tätä valitsinta käytetään .sst-tiedostojen luomiseen Windows Update -sivustosta. Tämän valitsimen syntaksi on seuraava:
CertUtil [valinnat] -generateSSTFromWU SST-tiedosto 
Huomautus SST-tiedosto on luodun .sst-tiedoston nimi. Luotu .sst-tiedosto sisältää kolmannen osapuolen päävarmenteita, jotka ladataan Windows Updatesta.

Voit esimerkiksi luoda .sst-tiedostot Windows Update -sivustosta suorittamalla seuraavan komennon:
CertUtil –generateSSTFromWU Rootstore.sst 

Rekisteriavaimet

Tässä päivityksessä julkaistaan seuraavat rekisteriavaimet:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate Määritä tämän rekisteriavaimen arvoksi 1, jos haluat ottaa käyttöön luotettujen varmenteiden luetteloiden (CTL-luettelot) automaattiset päivitykset.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateMääritä tämän rekisteriavaimen arvoksi 1, jos haluat ottaa käyttöön evättyjen varmenteiden luetteloiden (CTL-luettelot) automaattiset päivitykset.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlTämä rekisteriavain määrittää CTL-luetteloiden noutamisen resurssien polut.
Ominaisuudet

Artikkelin tunnus: 2813430 – Viimeisin tarkistus: 25.6.2013 – Versio: 1

Palaute