Deux améliorations ne sont disponibles que raccourcir le temps nécessaire pour gérer les certificats SCEP à l’aide du Service d’inscription de périphériques réseau dans Windows Server 2008

Symptômes

Dans Windows Server 2008, vous essayez de gérer les certificats du protocole SCEP (Simple Certificate Enrollment Protocol) en utilisant le Service NDES. Le NDES est installé dans le cadre des services de certificats dans Windows Server 2008. Dans ce scénario, vous rencontrez les problèmes suivants :

Problème 1

Les mots de passe ne peuvent pas être réutilisées entre les périphériques.

Un périphérique basé sur le protocole SCEP, est nécessaire pour envoyer un mot de passe lorsqu’il demande un certificat à partir d’un serveur SCEP pour la première fois. Le serveur SCEP émet un certificat après avoir validé le mot de passe.

Le processus par lequel le serveur SCEP délivre un certificat après avoir validé le mot de passe est la suivante :
  1. L’administrateur ouvre une session sur un site Web d’administration SCEP et demande un mot de passe.
  2. Le serveur SCEP génère un mot de passe aléatoire, il stocke dans le cache et affiche ensuite le mot de passe pour l’administrateur.
  3. L’administrateur configure le mot de passe sur l’appareil.
  4. Le périphérique envoie ce mot de passe dans sa demande initiale d’un certificat.

    Remarque Ce mot de passe expire dans 60 minutes.
  5. Le serveur émet le certificat, puis supprime le mot de passe à partir du cache. Le mot de passe ne peut plus être utilisé par d’autres périphériques.
Problème 2

Les certificats SCEP ne peut pas être réinscrits automatiquement qui arrivent à expiration.

En raison de ces deux problèmes, il peut prendre beaucoup de temps administrateurs demande des mots de passe pour tous les périphériques et pour leur appliquer des certificats SCEP.

Résolution

Pour résoudre ces deux problèmes, installez le correctif 959193. Ce correctif introduit les deux améliorations suivantes :

Amélioration 1

Après avoir appliqué ce correctif logiciel, les mots de passe peuvent être réutilisées entre les périphériques. Le nouveau processus pour gérer les mots de passe est la suivante :
  1. Le serveur SCEP confirme le paramètre de Registre pour le mode « Mot de passe unique ». Dans ce mode, un mot de passe maître est créé et stocké dans le Registre à l’aide de données chiffrées. Le maître mot de passe n’expire jamais.
  2. Un administrateur ouvre une session sur un site Web d’administration SCEP et demande un mot de passe. Le mot de passe maître est remis.
  3. L’administrateur configure le mot de passe sur l’appareil. Étant donné que le mot de passe est le même pour tous les périphériques et parce qu’il n’expire jamais, l’administrateur peut facilement écrire un script pour déployer le mot de passe sur tous les périphériques.
Comment faire pour activer l’amélioration 1

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows

Pour activer cette fonctionnalité, créez l’entrée de Registre suivante :
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

Remarque Si vous exécutez NDES sous le compte Service réseau, vous devez accorder l’autorisation contrôle total au compte « Service réseau » sous la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Amélioration 2

Les certificats peuvent être réinscrits automatiquement qui arrivent à expiration. Cette fonction est activée automatiquement après l’installation du correctif.

Par défaut, lorsque vous demandez un renouvellement de certificat à l’aide de cette fonctionnalité, le certificat de signataire doit avoir le même nom de sujet et le nom de substitution du sujet en tant que le certificat demandé. Pour contourner cette exigence, la valeur de l’entrée de Registre DisableRenewalSubjectNameMatch sous la sous-clé suivante à 1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

Remarque Vous devrez peut-être créer cette entrée de Registre à l’aide de type REG_DWORD si l’entrée de Registre n’existe pas.

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

D'importants correctifs de Windows Vista et Windows Server 2008 sont inclus dans les mêmes packages. Toutefois, un seul de ces produits peut être répertorié dans la page demande de correctif « ». Pour demander le package de correctif qui s’applique à Windows Vista et Windows Server 2008, sélectionnez simplement le produit figurant sur la page.

Conditions préalables

Il n’y a aucune condition préalable.

Nécessite un redémarrage

Vous devez redémarrer l’ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif préalablement publié.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.
Remarques sur les fichiers Windows Server 2008
Les fichiers .manifest et .mum qui est installés dans chaque environnement est énumérés séparément dans la section « informations sur les fichiers supplémentaires pour Windows Server 2008 ». Ces fichiers et leurs fichiers .cat associés (catalogue de sécurité) sont essentiels pour conserver l’état du composant mis à jour. Les fichiers .cat sont signés avec une signature numérique Microsoft. Les attributs de ces fichiers de sécurité ne sont pas répertoriés.

Pour toutes les versions x86 prises en charge de Windows Server 2008
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
Pour toutes les versions x64 de Windows Server 2008 prises en charge
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Pour plus d’informations sur SCEP, visitez le site de Web de site (IETF) Web de brouillons Internet suivant :

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Notez que ce document expire le 25 juillet 2009. Pour plus d’informations après cette date, recherchez « SCEP » sur la page d’accueil du site Web.

Microsoft fournit des informations pour contacter des sociétés tierces afin de vous aider à obtenir une aide technique. Ces coordonnées peuvent changer sans préavis. Microsoft ne garantit pas l'exactitude des informations de contact de ces tiers.


Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft


Informations de fichiers supplémentaires pour Windows Server 2008

Pour toutes les versions x86 prises en charge de Windows Server 2008
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas13,17218-Jan-200901:10Ne s'applique pas
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,42318-Jan-200901:10Ne s'applique pas
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas13,64718-Jan-200901:10Ne s'applique pas
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,43118-Jan-200901:10Ne s'applique pas
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifestNe s'applique pas43,47517-Jan-200907:10Ne s'applique pas
Pour toutes les versions x64 de Windows Server 2008 prises en charge
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifestNe s'applique pas43,50517-Jan-200909:42Ne s'applique pas
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas13,28418-Jan-200901:10Ne s'applique pas
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,43118-Jan-200901:10Ne s'applique pas
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas13,76318-Jan-200901:10Ne s'applique pas
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,43918-Jan-200901:10Ne s'applique pas
Propriétés

ID d'article : 959193 - Dernière mise à jour : 13 janv. 2017 - Révision : 1

Commentaires