מאפייני הבעיה
שקול את התרחיש הבא:
-
יש לך שירות ממשיב מקוון של Microsoft המותקן בשרת שבו פועל Windows Server 2008 R2 או Windows Server 2012 R2.
-
השרת משמש לשם קביעת תצורה וניהול של פרוטוקול מצב אישור מקוון (OCSP) אימות.
בתרחיש זה, השירות ממשיב מקוון לא מחזירים קשיחה ערך טוב עבור כל האישורים שאינם כלולים ברשימת ביטול אישורים (CRL).
הגורם
בעיה זו מתרחשת מאחר OCSP תאמת עם מקור אושר כי הוא למעשה הונפק על-ידי רשות האישורים המתאימים. במקום זאת, אם אישור אינה כלולה ב- CRL, השירות ממשיב מקוון מניחה כי האישור חוקי וכי מחזירה ערך של טוב.
פתרון
כדי לפתור בעיה זו ב- Windows 8.1 או Windows Server 2012 R2, התקן את עדכון 2967917. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
2967917 יולי 2014 אוסף עדכונים עבור Windows RT 8.1, Windows 8.1 ו- Windows Server 2012 R2
כדי לפתור בעיה זו ב- Windows 7 או Windows Server 2008 R2, התקן את התיקון החם המתואר בסעיף "מידע על תיקונים חמים" במאמר זה.
לפני התקנת תיקון חם זה, עליך להגדיר את השירות OCSP לקרוא מספרים סידוריים שהונפקו על-ידי רשות האישורים. לשם כך, בצע את השלבים במקטע זה כדי ליצור מיקום הספריה שבה כדי לשמור את הקבצים המספר הסידורי וכדי ליצור מפתחות רישום המצביעים על ספריה זו.
הערות
-
הספריה להיות ממוקם במיקום משותף ברשת או מתארחים במחשב המקומי. אם תגדיר תצורה של מערך, אנו ממליצים לארח את הספריה במיקום משותף ברשת, כך כל מערך חברי הקבוצה יכולים להיות "לקרוא" גישה אליו.
-
ללא תלות היכן נמצאת הספריה לאתר, ודא ששירות OCSP יש הרשאת קריאה לספריה. הגדרות הרישום לא תחול על כל מגיבים המקוונת של Microsoft אשר לא שתוקנה על-ידי תיקון חם זה.
קביעת תצורה של שירות OCSP
הפעל את השלבים הבאים במחשב רשות אישורים עבורם קבעת את השירות OCSP.
שלב 1: מבנה הספריות
-
הפעל את פנקס הרשימות, ולאחר מכן הדבק את ה-script לדוגמה הבאה לתוך מסמך חדש:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
שמור את המסמך החדש בשם Certs.ps1.
-
צור ספריה שבה ריק המתאימות כל המספרים הסידוריים שהונפק שהקבצים יאוחסנו.
-
הפעל את קובץ ה-script של Certs.ps1. כדי לעשות זאת, הפעל את הפקודה הבאה ב- Windows PowerShell:
Certs.ps1 < מיקום ספריית שנוצר בשלב 3 >
-
בדוק את הספריה שיצרת בשלב 3 כדי לוודא כי הקבצים מתאימים המספרים הסידוריים שהונפק.
הערה אם יש לך מספר רשויות אישורים המתארחים בסביבה שלך, ודא הספריות המספר הסידורי המתאימות שלהם הם שונים. אל תשתף באותה הספריה בין רשויות אישורים שונים. -
להפעיל את קובץ ה-script במחשב CA, ולהעלות את הקובץ שנשמר אם יתן לו Acl מגבילה. לא ניתן להשאיר את הקובץ לעריכה. ודא כי כל המחשבים ממשיב מקוון של Microsoft יכולים לגשת למיקום זה.
מידע נוסף על הליך זה
Microsoft ממשיב מקוון מחזירה ערך לא ידוע עבור כל האישורים שהונפקו אך עדיין לא בקובץ שנוצר בשלב 6. קובץ script זה חייב להיות להפעיל במרווח זמן קבוע ורענון בסדר עבור ממשיב מקוון של Microsoft לספק מצב לא מעודכן. הגדרת מרווח זה יהיה תלוי סביבת הפריסה הספציפי שלך. אנו ממליצים שתבחר מרווח מתאים בכל מקום מתוך ארבע שעות לערך של ה-CRL הבא תאריך פרסום.
שלב 2: רישום
אזהרה שינוי שגוי של הרישום באמצעות עורך הרישום או בשיטה אחרת, עלול לגרום לבעיות חמורות. בעיות אלה עלולות לחייב התקנה מחדש של מערכת ההפעלה. Microsoft אינה יכולה להבטיח כי ניתן יהיה לפתור בעיות אלה. שינוי הרישום הוא באחריותך הבלעדית.
-
צא כל יישומי Windows.
-
לחץ על התחל, לחץ על הפעלה, הקלד regedit ולאחר מכן לחץ על אישור.
-
אתר ולאחר מכן בחר את מפתח המשנה הבא של הרישום:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
לחץ על רשות האישורים (CA) עבורו יצרת את מבנה הספריות.
-
לחץ לחיצה ימנית על צומת ספק, הצבע על חדשולאחר מכן לחץ על ערך מרובה מחרוזות.
-
הקלד IssuedSerialNumbersDirectoriesולאחר מכן הקש Enter.
-
לחץ לחיצה ימנית על IssuedSerialNumbersDirectoriesולאחר מכן לחץ על שנה.
-
בתיבה ' נתוני ערך ', הקלד את הנתיב אל הספריה שיצרת בשלב 3 של הליך מבנה הספריות ואת אשר מכיל את המספרים הסידוריים שהונפק ולאחר מכן לחץ על אישור.
עבור נתיב הספריה, השתמש בתבנית הבאה:\\<computername>\<directorylocation>לדוגמה, השתמש בנתיב הדומה להודעה הבאה:
\\contoso-ocspfileserver\SerialNumbers
-
בתפריט קובץ , לחץ על יציאה כדי לצאת מעורך הרישום.
-
התקן את חבילת התיקון החם הנזכר במאמר זה.
לאחר שתבצע את "מבנה הספריות" ואת "רישום" שלבים, התקן את חבילת התיקון החם הנזכר במאמר זה.
תוצאות
לאחר התקנת התיקון החם, השירות ממשיב מקוון צריך לבצע את הפעולות הבאות:
-
מחזירים ערך טוב עבור אישורים שאינם מאומתים
-
החזרת ערך של מבוטלים עבור האישורים הנכללים ב- CRL
-
החזרת ערך לא ידוע עבור כל האישורים אחרים שאין אפשרות לאמת
מידע על תיקונים חמים
תיקון חם נתמך זמין מתוך התמיכה של Microsoft. עם זאת, תיקון חם זה מיועד לפתור רק את הבעיה המתוארת במאמר זה. יש להחיל תיקון חם זה רק במערכות שהתעוררה בהן הבעיה המתוארת במאמר זה. תיקון חם זה עשוי לעבור בדיקות נוספות. לכן, אם המערכת שברשותך לא נפגעה באופן חמור מבעיה זו, מומלץ להמתין לעדכון התוכנה הבא המכיל תיקון חם זה.
אם התיקון החם זמין להורדה, ישנו סעיף "הורדת תיקון חם זמינה" בראש מאמר Knowledge Base. אם מקטע זה אינו מופיע, פנה לשירות הלקוחות והתמיכה של Microsoft כדי לקבל את התיקון החם.
הערה אם בעיות נוספות מתרחשות או אם נדרש פתרון בעיות כלשהו, ייתכן שתצטרך ליצור בקשת שירות נפרדת. דמי התמיכה המקובלים יחולו על שאלות וסוגיות תמיכה נוספות אשר אינן מצריכות את התיקון חם הספציפי הזה. לקבלת רשימה מלאה של מספרי הטלפון של התמיכה ושירות הלקוחות של Microsoft או כדי ליצור בקשת שירות נפרדת, עבור אל אתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/contactus/?ws=supportהערה הטופס "הורדת תיקון חם זמינה" מציג את השפות שעבורן התיקון החם זמין. אם אינך רואה את השפה שלך, הסיבה לכך היא שהתיקון חם אינו זמין עבור שפה זו.
דרישות מוקדמות
כדי להחיל תיקון חם זה, עליך Service Pack 1 עבור Windows 7 או Windows Server 2008 R2, מותקן.
דרישת הפעלה מחדש
אתה לא צריך להפעיל מחדש את המחשב לאחר החלת תיקון חם זה.
מידע על החלפת התיקון החם
תיקון חם זה אינו מחליף כל תיקון חם שפורסם בעבר.
הגירסה האנגלית (ארה ב) של תיקון חם זה מתקינה קבצים הכוללים את התכונות המפורטות בטבלאות הבאות. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). התאריכים והשעות עבור קבצים אלה במחשב המקומי שלך מוצגים בזמן המקומי, עם הפרש שעון הקיץ (DST) הנוכחי שלך. בנוסף, התאריכים והשעות עשויים להשתנות בעת ביצוע פעולות מסוימות על הקבצים.
פרטי קובץ Windows 7 ו- Windows Server 2008 R2 והערותחשוב תיקונים חמים של Windows 7 ו- Windows Server 2008 R2 חמים נכללים בחבילות זהה. עם זאת, תיקונים חמים בדף בקשת תיקון חם מפורטים תחת שתי מערכות ההפעלה. כדי לבקש את חבילת התיקון החם החלה על מערכות הפעלה אחד או שניים, בחר את התיקון החם שמופיע תחת "Windows 7/Windows Server 2008 R2" בדף. עיין תמיד בסעיף 'חל על' במאמרים כדי לקבוע את מערכת ההפעלה בפועל שחלה על כל תיקון חם.
-
ניתן לזהות את הקבצים החלים על מוצר, SR_Level (RTM, SPn), וענף שירות (LDR, GDR) על-ידי בדיקת מספרי גירסת הקובץ כמוצב בטבלה הבאה.
גירסה
מוצר
SR_Level
ענף שירות
6.1.760
1. 22xxxWindows 7 ו-Windows Server 2008 R2
SP1
LDR
-
ענפי שירות של GDR מכילים רק תיקונים שפורסמו בהיקף רחב כדי לטפל בהתפשטות של בעיות חשובות מאוד. ענפי שירות של LDR מכילים תיקונים חמים בנוסף לתיקונים שפורסמו בהיקף רחב.
-
קובצי MANIFEST (. manifest) וקובצי MUM (. mum) המותקנים עבור כל סביבה הן רשומות בנפרד במקטע נוספים פרטי קובץ עבור Windows 7 ו- Windows Server 2008 R2". MUM ו- MANIFEST, וקבצים קבצי קטלוג (. cat) המשויכים האבטחה, חשובים במיוחד לשמירה על מצב הרכיבים המעודכנים. קובצי קטלוג האבטחה, שעבורם לא מפורטות תכונות, נחתמים באמצעות חתימה דיגיטלית של Microsoft
עבור כל הגירסאות מבוססות x86 הנתמכות של Windows 7
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
דרישת SP |
ענף שירות |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
ללא |
לא ישים |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
עבור כל גירסאות מבוססות x64 הנתמכות של Windows 7 ו-Windows Server 2008 R2
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
דרישת SP |
ענף שירות |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
ללא |
לא ישים |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
ללא |
לא ישים |
מידע קובץ נוסף עבור Windows 7 ו- Windows Server 2008 R2
קבצים נוספים עבור כל הגירסאות מבוססות x86 הנתמכות של Windows 7
|
מאפיין קובץ |
ערך |
|---|---|
|
שם קובץ |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
720 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
13:22 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
719 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
13:22 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
63,628 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
07:59 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
11,236 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
08:00 |
|
פלטפורמה |
לא ישים |
קבצים נוספים עבור כל גירסאות מבוססות x64 הנתמכות של Windows 7 ו- Windows Server 2008 R2
|
מאפיין קובץ |
ערך |
|---|---|
|
שם קובץ |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
723 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
13:22 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
721 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
13:22 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
724 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
13:22 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
63,632 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
08:30 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
11,240 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
08:30 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
63,628 |
|
תאריך (UTC) |
30-May-2014 |
|
שעה (UTC) |
07:59 |
|
פלטפורמה |
לא ישים |
מצב
Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft הרשומים במקטע 'חל על'.
מידע נוסף
תיקון חם זה מספק שינוי עיצוב ההופכת את Microsoft של משיב OCSP מודע כל האישורים אודותיו התנאי הבא מתקיים:
-
הם מונפקים על-ידי רשות האישורים.
-
הם לא בוטל.
-
הן נמצאות כעת משלהם תקופת התוקף.
הפניות
למד אודות המינוח שבו Microsoft משתמשת לתיאור עדכוני תוכנה.
