Symptômes
Considérez le scénario suivant :
-
Vous avez le service de répondeur en ligne Microsoft installé sur un serveur qui exécute Windows Server 2008 R2 ou Windows Server 2012 R2.
-
Le serveur est utilisé pour configurer et gérer la validation de Protocole de statut de certificat en ligne .
Dans ce scénario, le service de répondeur en ligne ne renvoie pas une valeur déterministe de bien tous les certificats qui ne sont pas inclus dans la liste de révocation de certificats (CRL).
Cause
Ce problème se produit car le protocole OCSP ne vérifie pas avec une source confirmée que le certificat a été effectivement émis par son autorité de certificat correspondante. En revanche, si un certificat n’est pas inclus dans la liste de révocation, le service de répondeur en ligne suppose que le certificat est valide et renvoie une valeur de marchandise.
Résolution
Pour résoudre ce problème dans Windows 8.1 ou de Windows Server 2012 R2, installez la mise à jour 2967917. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
2967917 juillet 2014 correctif cumulatif pour Windows RT 8.1, 8.1 de Windows et Windows Server 2012 R2
Pour résoudre ce problème dans Windows 7 ou Windows Server 2008 R2, installez le correctif qui est décrit dans la section « Informations sur le correctif » de cet article.
Avant d’installer ce correctif, vous devez configurer le service de protocole OCSP pour lire les numéros de série qui sont délivrés par l’autorité de certification. Pour ce faire, suivez les étapes de cette section pour créer un répertoire dans lequel enregistrer les fichiers de numéro de série et de créer des clés de Registre qui pointent vers ce répertoire.
Remarques
-
Le répertoire peut être situé sur un partage réseau ou hébergé sur un ordinateur local. Si vous définissez une configuration de groupe, nous recommandons que vous hébergez le répertoire sur un partage réseau afin que tous les membres du groupe peuvent avoir « lire » à y accéder.
-
Quel que soit l’endroit où se trouve le répertoire, assurez-vous que le service de protocole OCSP a l’autorisation de lecture sur le répertoire. Les paramètres du Registre ne s’appliqueront pas à des répondeurs en ligne de Microsoft qui ne sont pas corrigés par ce correctif.
Configurer le service de protocole OCSP
Exécutez les étapes suivantes sur l’ordinateur de l’autorité de certification pour lequel vous avez configuré le service OCSP.
Étape 1 : Structure de répertoire
-
Démarrez le bloc-notes, puis collez l’exemple de script suivant dans un nouveau document :
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Enregistrez le nouveau document en tant que Certs.ps1.
-
Créez un répertoire dans lequel les fichiers vides qui correspondent à tous les numéros de série émis doivent être stockés.
-
Exécutez le script Certs.ps1. Pour ce faire, exécutez la commande suivante dans Windows PowerShell :
Certs.ps1 < emplacement du répertoire créé à l’étape 3 >
-
Examiner le répertoire que vous avez créé à l’étape 3 pour vous assurer que les fichiers correspondent aux numéros d’ordre émis.
Remarque Si vous avez plusieurs autorités de certification hébergée dans votre environnement, assurez-vous que leurs répertoires correspondants du numéro de série sont différents. Ne pas partager le même répertoire entre les différentes autorités de certification. -
Exécutez le script sur l’ordinateur de l’autorité de certification et télécharger le fichier enregistré en lui donnant une ACL restrictive. Le fichier ne doit pas être modifiable. Assurez-vous que tous les ordinateurs du répondeur en ligne de Microsoft peuvent accéder à cet emplacement.
Plus d’informations sur cette procédure.
Répondeur en ligne Microsoft renvoie la valeur UNKNOWN pour tous les certificats qui sont émis, mais pas encore dans le fichier qui est créé à l’étape 6. Ce script doit être exécuté à intervalles réguliers et actualisé dans l’ordre de répondeur en ligne de Microsoft fournir un statut à jour. Ce paramètre d’intervalle dépend de votre environnement de déploiement spécifiques. Nous vous conseillons de sélectionner un intervalle approprié n’importe où à partir de quatre heures à la valeur de la prochaine liste date de publication.
Étape 2 : Registre
Avertissement Des problèmes graves peuvent survenir si vous modifiez le Registre incorrectement à l’aide de l’Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter que vous réinstalliez le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Modifiez le Registre à vos risques et périls.
-
Quittez toutes les applications Windows.
-
Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
-
Recherchez, puis sélectionnez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Cliquez sur l’autorité de certification (CA) pour lequel vous avez créé la structure de répertoire.
-
Cliquez droit sur le Nœud de fournisseur, pointez sur Nouveau, puis cliquez sur Valeur de chaînes multiples.
-
Tapez IssuedSerialNumbersDirectorieset appuyez sur ENTRÉE.
-
Cliquez sur IssuedSerialNumbersDirectories, puis cliquez sur Modifier.
-
Dans la zone données de la valeur , tapez le chemin d’accès vers le répertoire créé à l’étape 3 de la procédure de structure de répertoire et qui contient les numéros de série émis, puis cliquez sur OK.
Le chemin d’accès du répertoire, utilisez le format suivant :\\<computername>\<directorylocation>Par exemple, utilisez un chemin d’accès semblable au suivant :
\\contoso-ocspfileserver\SerialNumbers
-
Dans le menu Fichier, cliquez sur Quitter pour quitter l'Éditeur du Registre.
-
Installez le correctif logiciel qui est mentionné dans cet article.
Après avoir suivi les « Directory structure » et les étapes de « Registre », installez le correctif logiciel qui est mentionné dans cet article.
Résultats
Une fois le correctif installé, le service de répondeur en ligne doit effectuez les opérations suivantes :
-
Renvoie une valeur de marchandise pour les certificats qui sont vérifiés
-
Retourner une valeur révoqué pour les certificats qui sont inclus dans la liste de révocation
-
Renvoie la valeur UNKNOWN pour tous les autres certificats ne peut pas être vérifiée.
Informations sur le correctif
Un correctif pris en charge est disponible auprès du Support Microsoft. Toutefois, ce correctif vise à corriger uniquement le problème décrit dans cet article. Appliquez ce correctif uniquement aux systèmes qui rencontrent le problème décrit dans cet article. Ce correctif va peut-être subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre la prochaine mise à jour logicielle qui contiendra ce correctif.
Si le correctif est disponible pour le téléchargement, il existe une section « Téléchargement de correctif logiciel disponible » au début de cet article de la Base de connaissances. Si cette section n'apparaît pas, contactez le Service clientèle et Support de Microsoft pour obtenir le correctif.
Remarque Si des problèmes supplémentaires se produisent ou si des procédures de dépannage sont nécessaires, vous devrez peut-être formuler une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux questions et problèmes qui ne relèvent pas de ce correctif logiciel. Pour une liste complète des numéros de téléphone service clientèle de Microsoft ou pour créer une demande de service distincte, accédez au site Web de Microsoft suivant :
http://support.microsoft.com/contactus/?ws=supportRemarque Le formulaire « Téléchargement de correctif logiciel disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas votre langue, c'est parce qu'il n'y a pas de correctif disponible pour cette langue.
Conditions préalables
Pour appliquer ce correctif, vous devez disposer des Service Pack 1 pour Windows 7 ou Windows Server 2008 R2 est installé.
Nécessite un redémarrage
Vous n’êtes pas obligé de redémarrer l’ordinateur après avoir appliqué ce correctif.
Informations de remplacement du correctif
Ce correctif ne remplace aucun correctif publié précédemment.
La version anglaise (États-Unis) de ce correctif logiciel installe des fichiers dont les attributs sont répertoriés dans les tableaux ci-dessous. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Les dates et heures de ces fichiers sur votre ordinateur local sont affichées dans votre heure locale en tenant compte de l'heure d'été (DST). En outre, les dates et heures peuvent changer lorsque vous effectuez certaines opérations sur les fichiers.
Remarques et informations sur les fichiers Windows 7 et Windows Server 2008 R2Important Les correctifs logiciels Windows 7 et Windows Server 2008 R2 sont inclus dans les mêmes packages. Toutefois, les correctifs dans la page de demande de correctif logiciel sont répertoriés sous les deux systèmes d’exploitation. Pour demander le package de correctif qui s’applique à un ou deux systèmes d’exploitation, sélectionnez le correctif logiciel qui est répertorié sous « Windows 7/Windows Server 2008 R2 » sur la page. Reportez-vous toujours à la section « S’applique à » dans les articles pour déterminer le système d’exploitation actif auquel s’applique chaque correctif.
-
Les fichiers qui s'appliquent à un produit spécifique, SR_Level (RTM, SPn), et à une branche de service (LDR, GDR), peuvent être identifiés en examinant les numéros de version de fichier comme indiqués dans le tableau suivant :
Version francaise
Produit
SR_Level
Dossier
6.1.760
1. 22xxxWindows 7 et Windows Server 2008 R2
SP1
LDR
-
Les dossiers GDR contiennent uniquement les correctifs généralement publiés pour résoudre les problèmes de grande envergure, extrêmement importants. Les branches de service LDR contiennent des correctifs en plus des correctifs généralement publiés.
-
Les fichiers MANIFEST (.manifest) et MUM (.mum) qui sont installés pour chaque environnement sont répertoriés séparément dans la section « Informations supplémentaires sur les fichiers pour Windows 7 et Windows Server 2008 R2 ». Les fichiers MUM et MANIFEST et les fichiers de catalogue de sécurité (.cat) associés sont extrêmement importants pour conserver l'état des composants mis à jour. Les fichiers de catalogue de sécurité, pour lesquels les attributs ne sont pas répertoriés, sont signés avec une signature numérique Microsoft.
Pour toutes les versions x86 de Windows 7 prises en charge
|
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
SP requis |
Dossier |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Aucun |
Ne s'applique pas |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Pour toutes les versions x64 de Windows 7 et Windows Server 2008 R2 prises en charge
|
Nom de fichier |
Version de fichier |
Taille du fichier |
Date |
Heure |
Plateforme |
SP requis |
Dossier |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Aucun |
Ne s'applique pas |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Aucun |
Ne s'applique pas |
Informations de fichiers supplémentaires pour Windows 7 et Windows Server 2008 R2
Fichiers supplémentaires pour toutes les versions x86 prises en charge de Windows 7
|
Propriété de fichier |
Valeur |
|---|---|
|
Nom de fichier |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
720 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
13:22 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
719 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
13:22 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
63,628 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
07:59 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
11,236 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
08:00 |
|
Plateforme |
Ne s'applique pas |
Fichiers supplémentaires pour toutes les versions basées sur les x64 pris en charge de Windows 7 et Windows Server 2008 R2
|
Propriété de fichier |
Valeur |
|---|---|
|
Nom de fichier |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
723 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
13:22 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
721 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
13:22 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
724 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
13:22 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
63,632 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
08:30 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
11,240 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
08:30 |
|
Plateforme |
Ne s'applique pas |
|
Nom de fichier |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Version de fichier |
Ne s'applique pas |
|
Taille du fichier |
63,628 |
|
Date (UTC) |
30-May-2014 |
|
Heure (UTC) |
07:59 |
|
Plateforme |
Ne s'applique pas |
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Plus d'informations
Ce correctif fournit une modification de conception qui rend le répondeur OCSP Microsoft prenant en charge de tous les certificats sur laquelle la condition suivante est remplie :
-
Ils sont émis par l’autorité de certification.
-
Ils ne sont pas révoqués.
-
Ils sont actuellement dans leur période de validité.
Références
Obtenir des informations sur la terminologie que Microsoft utilise pour décrire les mises à jour logicielles.
