Certains clients de statut protocole OCSP (Online Certificate) tiers peuvent rejeter une réponse à partir d’un répondeur OSCP si ce répondeur OCSP reçoit un certificat de signature de réponse auprès d’une autorité de certification Windows Server 2008

Symptômes

Considérez le scénario suivant :
  • Un répondeur état protocole OCSP (Online Certificate) Obtient un certificat de signature de réponse à partir d’une autorité de certification (CA) de Windows Server 2008.
  • Certains clients OCSP de tiers permettent de vérifier les certificats de ce serveur OCSP.
Dans ce scénario, ces clients OCSP peuvent rejeter une réponse à partir du répondeur OCSP. Lorsque la réponse est rejetée, un échec de la fonction se produit pour certains clients OCSP tiers, tels que les routeurs Cisco.

Cause

Une autorité de certification Windows Server 2008 émet un certificat de signature de réponse à un répondeur OCSP. L’extension NoRevCheck de ce certificat contient une valeur nulle au lieu d’une valeur null ASN. Le répondeur utilise ce certificat pour répondre aux requêtes des clients OCSP.

Certains clients OCSP tiers requièrent que la valeur de l’extension NoRevCheck est une valeur null ASN. Par conséquent, ces clients OCSP de tiers rejettent la réponse à partir du répondeur OCSP.

Résolution

Informations sur le correctif

Un correctif pris en charge est disponible auprès de Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.

Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.

Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone du Service clientèle et support technique de Microsoft ou pour créer une demande de service distincte, visitez le site Web de Microsoft à l'adresse suivante :Remarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.

D'importants correctifs de Windows Vista et Windows Server 2008 sont inclus dans les mêmes packages. Toutefois, un seul de ces produits peut être répertorié dans la page demande de correctif « ». Pour demander le package de correctif qui s’applique à Windows Vista et Windows Server 2008, sélectionnez simplement le produit figurant sur la page.

Conditions préalables

Pour appliquer ce correctif, vous devez disposer de Windows Server 2008 avec les Services de certificats installés sur l’ordinateur.

Nécessite un redémarrage

Vous devez redémarrer l’ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif préalablement publié.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.

Remarques sur les fichiers Windows Server 2008

Les fichiers MANIFEST (.manifest) et les fichiers MUM (.mum) installés pour chaque environnement sont répertoriés séparément. MUM et les fichiers manifeste et les fichiers de catalogue (.cat) sécurité associées, sont importants pour conserver l’état du composant mis à jour. Les fichiers de catalogue de sécurité (attributs non répertoriés) sont signés avec une signature numérique Microsoft.
Pour toutes les versions 32 bits de Windows Server 2008
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Certpdef.dll6.0.6001.22317132,60825-Nov-200805:10x86
Certcli.dll6.0.6001.22317323,07225-Nov-200805:10x86
Pour toutes les versions 64 bits de Windows Server 2008
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Certpdef.dll6.0.6001.22317170,49625-Nov-200805:50x64
Certcli.dll6.0.6001.22317444,41625-Nov-200805:50x64
Certcli.dll6.0.6001.22317323,07225-Nov-200805:10x86

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Le service de répondeur en ligne de Microsoft permet de configurer et de gérer les chèques OCSP de validation et de révocation dans les réseaux Windows. Le composant logiciel enfichable Répondeur en ligne vous permet de configurer et de gérer des configurations de révocation et des groupes de répondeurs en ligne pour prendre en charge des clients d’infrastructure à clé publique (PKI) dans divers environnements.


Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft
Les produits tiers dont traite cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute forme de garantie, expresse ou implicite, concernant les performances ou la fiabilité de ces produits.

Informations de fichiers supplémentaires pour Windows Server 2008

Prise en charge de fichiers supplémentaires pour toutes les versions 32 bits de Windows Server 2008
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Package_for_kb960549_client_1~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,84825-Nov-200821:23Ne s'applique pas
Package_for_kb960549_client~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,43125-Nov-200821:23Ne s'applique pas
Package_for_kb960549_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,42225-Nov-200821:23Ne s'applique pas
Package_for_kb960549_sc~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,42325-Nov-200821:23Ne s'applique pas
Package_for_kb960549_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas2,11725-Nov-200821:23Ne s'applique pas
Package_for_kb960549_server~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,43125-Nov-200821:23Ne s'applique pas
Package_for_kb960549_winpesrv_0~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,42225-Nov-200821:23Ne s'applique pas
Package_for_kb960549_winpesrv~31bf3856ad364e35~x86~~6.0.1.0.mumNe s'applique pas1,43025-Nov-200821:23Ne s'applique pas
X86_microsoft-windows-c..ervices-ca-certpdef_31bf3856ad364e35_6.0.6001.22317_none_bdc5b28a0ea37c86.manifestNe s'applique pas32,92425-Nov-200806:38Ne s'applique pas
X86_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_d803882d55c6ef90.manifestNe s'applique pas62,02825-Nov-200806:39Ne s'applique pas
Prise en charge de fichiers supplémentaires pour toutes les versions 64 bits de Windows Server 2008
Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Amd64_microsoft-windows-c..ervices-ca-certpdef_31bf3856ad364e35_6.0.6001.22317_none_19e44e0dc700edbc.manifestNe s'applique pas32,96025-Nov-200807:13Ne s'applique pas
Amd64_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_342223b10e2460c6.manifestNe s'applique pas61,71525-Nov-200807:15Ne s'applique pas
Package_for_kb960549_client_1~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,86025-Nov-200821:23Ne s'applique pas
Package_for_kb960549_client~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,43925-Nov-200821:23Ne s'applique pas
Package_for_kb960549_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,43025-Nov-200821:23Ne s'applique pas
Package_for_kb960549_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,43125-Nov-200821:23Ne s'applique pas
Package_for_kb960549_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas2,13125-Nov-200821:23Ne s'applique pas
Package_for_kb960549_server~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,43925-Nov-200821:23Ne s'applique pas
Package_for_kb960549_winpesrv_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pas1,43025-Nov-200821:23Ne s'applique pas
Package_for_kb960549_winpesrv~31bf3856ad364e35~amd64~~6.0.1.0.mumNe s'applique pasprix de 1 43825-Nov-200821:23Ne s'applique pas
X86_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_d803882d55c6ef90.manifestNe s'applique pas62,02825-Nov-200806:39Ne s'applique pas
Propriétés

ID d'article : 960549 - Dernière mise à jour : 14 janv. 2017 - Révision : 1

Commentaires