השירות ממשיב מקוון אינו חוזר טוב קשיחה עבור כל האישורים אינה כלולה ב- CRL

מאפייני הבעיה

שקול את התרחיש הבא:

  • יש לך שירות ממשיב מקוון של Microsoft המותקן בשרת שבו פועל Windows Server 2008 R2 או Windows Server 2012 R2.

  • השרת משמש לשם קביעת תצורה וניהול של (OCSP) אימות.


בתרחיש זה, השירות ממשיב מקוון לא מחזירים קשיחה ערך טוב עבור כל האישורים שאינם כלולים ברשימת ביטול אישורים (CRL).

הגורם

בעיה זו מתרחשת מאחר OCSP תאמת עם מקור אושר כי הוא למעשה הונפק על-ידי רשות האישורים המתאימים. במקום זאת, אם אישור אינה כלולה ב- CRL, השירות ממשיב מקוון מניחה כי האישור חוקי וכי מחזירה ערך של טוב.

פתרון

כדי לפתור בעיה זו ב- Windows 8.1 או Windows Server 2012 R2, התקן את עדכון 2967917. לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

יולי 2014 אוסף עדכונים עבור Windows RT 8.1, Windows 8.1 ו- Windows Server 2012 R2
כדי לפתור בעיה זו ב- Windows 7 או Windows Server 2008 R2, התקן את התיקון החם המתואר בסעיף "מידע על תיקונים חמים" במאמר זה.

לפני התקנת תיקון חם זה, עליך להגדיר את השירות OCSP לקרוא מספרים סידוריים שהונפקו על-ידי רשות האישורים. לשם כך, בצע את השלבים במקטע זה כדי ליצור מיקום הספריה שבה כדי לשמור את הקבצים המספר הסידורי וכדי ליצור מפתחות רישום המצביעים על ספריה זו.

הערות

  • הספריה להיות ממוקם במיקום משותף ברשת או מתארחים במחשב המקומי. אם תגדיר תצורה של מערך, אנו ממליצים לארח את הספריה במיקום משותף ברשת, כך כל מערך חברי הקבוצה יכולים להיות "לקרוא" גישה אליו.

  • ללא תלות היכן נמצאת הספריה לאתר, ודא ששירות OCSP יש הרשאת קריאה לספריה. הגדרות הרישום לא תחול על כל מגיבים המקוונת של Microsoft אשר לא שתוקנה על-ידי תיקון חם זה.

קביעת תצורה של שירות OCSP

הפעל את השלבים הבאים במחשב רשות אישורים עבורם קבעת את השירות OCSP.

שלב 1: מבנה הספריות

  1. הפעל את פנקס הרשימות, ולאחר מכן הדבק את ה-script לדוגמה הבאה לתוך מסמך חדש:

    param(    [ValidateScript({Test-Path $_})]
    [String] $Path
    )
    pushd $Path
    dir | foreach {
    remove-item $_ -force
    }
    certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
    New-Item -type File $matches[1] | out-null
    }
    }
    popd
  2. שמור את המסמך החדש בשם Certs.ps1.

  3. צור ספריה שבה ריק המתאימות כל המספרים הסידוריים שהונפק שהקבצים יאוחסנו.

  4. הפעל את קובץ ה-script של Certs.ps1. כדי לעשות זאת, הפעל את הפקודה הבאה ב- Windows PowerShell:

    Certs.ps1 < מיקום ספריית שנוצר בשלב 3 >

  5. בדוק את הספריה שיצרת בשלב 3 כדי לוודא כי הקבצים מתאימים המספרים הסידוריים שהונפק.

    הערה אם יש לך מספר רשויות אישורים המתארחים בסביבה שלך, ודא הספריות המספר הסידורי המתאימות שלהם הם שונים. אל תשתף באותה הספריה בין רשויות אישורים שונים.

  6. להפעיל את קובץ ה-script במחשב CA, ולהעלות את הקובץ שנשמר אם יתן לו Acl מגבילה. לא ניתן להשאיר את הקובץ לעריכה. ודא כי כל המחשבים ממשיב מקוון של Microsoft יכולים לגשת למיקום זה.

מידע נוסף על הליך זה

Microsoft ממשיב מקוון מחזירה ערך לא ידוע עבור כל האישורים שהונפקו אך עדיין לא בקובץ שנוצר בשלב 6. קובץ script זה חייב להיות להפעיל במרווח זמן קבוע ורענון בסדר עבור ממשיב מקוון של Microsoft לספק מצב לא מעודכן. הגדרת מרווח זה יהיה תלוי סביבת הפריסה הספציפי שלך. אנו ממליצים שתבחר מרווח מתאים בכל מקום מתוך ארבע שעות לערך של ה-CRL הבא תאריך פרסום.

שלב 2: רישום

אזהרה שינוי שגוי של הרישום באמצעות עורך הרישום או בשיטה אחרת, עלול לגרום לבעיות חמורות. בעיות אלה עלולות לחייב התקנה מחדש של מערכת ההפעלה. Microsoft אינה יכולה להבטיח כי ניתן יהיה לפתור בעיות אלה. שינוי הרישום הוא באחריותך הבלעדית.

  1. צא כל יישומי Windows.

  2. לחץ על התחל, לחץ על הפעלה, הקלד regedit ולאחר מכן לחץ על אישור.

  3. אתר ולאחר מכן בחר את מפתח המשנה הבא של הרישום:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder

  4. לחץ על רשות האישורים (CA) עבורו יצרת את מבנה הספריות.

  5. לחץ לחיצה ימנית על צומת ספק, הצבע על חדשולאחר מכן לחץ על ערך מרובה מחרוזות.

  6. הקלד IssuedSerialNumbersDirectoriesולאחר מכן הקש Enter.

  7. לחץ לחיצה ימנית על IssuedSerialNumbersDirectoriesולאחר מכן לחץ על שנה.

  8. בתיבה ' נתוני ערך ', הקלד את הנתיב אל הספריה שיצרת בשלב 3 של הליך מבנה הספריות ואת אשר מכיל את המספרים הסידוריים שהונפק ולאחר מכן לחץ על אישור.

    עבור נתיב הספריה, השתמש בתבנית הבאה:


    \\<computername>\<directorylocation>לדוגמה, השתמש בנתיב הדומה להודעה הבאה:


    \\contoso-ocspfileserver\SerialNumbers

  9. בתפריט קובץ , לחץ על יציאה כדי לצאת מעורך הרישום.

  10. התקן את חבילת התיקון החם הנזכר במאמר זה.

לאחר שתבצע את "מבנה הספריות" ואת "רישום" שלבים, התקן את חבילת התיקון החם הנזכר במאמר זה.

תוצאות

לאחר התקנת התיקון החם, השירות ממשיב מקוון צריך לבצע את הפעולות הבאות:

  • מחזירים ערך טוב עבור אישורים שאינם מאומתים

  • החזרת ערך של מבוטלים עבור האישורים הנכללים ב- CRL

  • החזרת ערך לא ידוע עבור כל האישורים אחרים שאין אפשרות לאמת

מידע על תיקונים חמים

תיקון חם נתמך זמין מתוך התמיכה של Microsoft. עם זאת, תיקון חם זה מיועד לפתור רק את הבעיה המתוארת במאמר זה. יש להחיל תיקון חם זה רק במערכות שהתעוררה בהן הבעיה המתוארת במאמר זה. תיקון חם זה עשוי לעבור בדיקות נוספות. לכן, אם המערכת שברשותך לא נפגעה באופן חמור מבעיה זו, מומלץ להמתין לעדכון התוכנה הבא המכיל תיקון חם זה.

אם התיקון החם זמין להורדה, ישנו סעיף "הורדת תיקון חם זמינה" בראש מאמר Knowledge Base. אם מקטע זה אינו מופיע, פנה לשירות הלקוחות והתמיכה של Microsoft כדי לקבל את התיקון החם.

הערה אם בעיות נוספות מתרחשות או אם נדרש פתרון בעיות כלשהו, ייתכן שתצטרך ליצור בקשת שירות נפרדת. דמי התמיכה המקובלים יחולו על שאלות וסוגיות תמיכה נוספות אשר אינן מצריכות את התיקון חם הספציפי הזה. לקבלת רשימה מלאה של מספרי הטלפון של התמיכה ושירות הלקוחות של Microsoft או כדי ליצור בקשת שירות נפרדת, עבור אל אתר האינטרנט הבא של Microsoft:

הערה הטופס "הורדת תיקון חם זמינה" מציג את השפות שעבורן התיקון החם זמין. אם אינך רואה את השפה שלך, הסיבה לכך היא שהתיקון חם אינו זמין עבור שפה זו.

דרישות מוקדמות

כדי להחיל תיקון חם זה, עליך עבור Windows 7 או Windows Server 2008 R2, מותקן.

דרישת הפעלה מחדש

אתה לא צריך להפעיל מחדש את המחשב לאחר החלת תיקון חם זה.

מידע על החלפת התיקון החם

תיקון חם זה אינו מחליף כל תיקון חם שפורסם בעבר.

הגירסה האנגלית (ארה ב) של תיקון חם זה מתקינה קבצים הכוללים את התכונות המפורטות בטבלאות הבאות. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). התאריכים והשעות עבור קבצים אלה במחשב המקומי שלך מוצגים בזמן המקומי, עם הפרש שעון הקיץ (DST) הנוכחי שלך. בנוסף, התאריכים והשעות עשויים להשתנות בעת ביצוע פעולות מסוימות על הקבצים.

פרטי קובץ Windows 7 ו- Windows Server 2008 R2 והערותחשוב תיקונים חמים של Windows 7 ו- Windows Server 2008 R2 חמים נכללים בחבילות זהה. עם זאת, תיקונים חמים בדף בקשת תיקון חם מפורטים תחת שתי מערכות ההפעלה. כדי לבקש את חבילת התיקון החם החלה על מערכות הפעלה אחד או שניים, בחר את התיקון החם שמופיע תחת "Windows 7/Windows Server 2008 R2" בדף. עיין תמיד בסעיף 'חל על' במאמרים כדי לקבוע את מערכת ההפעלה בפועל שחלה על כל תיקון חם.

  • ניתן לזהות את הקבצים החלים על מוצר, SR_Level (RTM, SPn), וענף שירות (LDR, GDR) על-ידי בדיקת מספרי גירסת הקובץ כמוצב בטבלה הבאה.

    גירסה

    מוצר

    SR_Level

    ענף שירות

    6.1.760
    1. 22xxx

    Windows 7 ו-Windows Server 2008 R2

    SP1

    LDR

  • ענפי שירות של GDR מכילים רק תיקונים שפורסמו בהיקף רחב כדי לטפל בהתפשטות של בעיות חשובות מאוד. ענפי שירות של LDR מכילים תיקונים חמים בנוסף לתיקונים שפורסמו בהיקף רחב.

  • קובצי MANIFEST (. manifest) וקובצי MUM (. mum) המותקנים עבור כל סביבה הן רשומות בנפרד במקטע נוספים פרטי קובץ עבור Windows 7 ו- Windows Server 2008 R2". MUM ו- MANIFEST, וקבצים קבצי קטלוג (. cat) המשויכים האבטחה, חשובים במיוחד לשמירה על מצב הרכיבים המעודכנים. קובצי קטלוג האבטחה, שעבורם לא מפורטות תכונות, נחתמים באמצעות חתימה דיגיטלית של Microsoft

עבור כל הגירסאות מבוססות x86 הנתמכות של Windows 7

שם קובץ

גירסת קובץ

גודל קובץ

תאריך

שעה

פלטפורמה

דרישת SP

ענף שירות

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

ללא

לא ישים

Ocsprevp.dll

6.1.7601.22705

151,552

30-May-2014

07:35

x86

SPR

X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

עבור כל גירסאות מבוססות x64 הנתמכות של Windows 7 ו-Windows Server 2008 R2

שם קובץ

גירסת קובץ

גודל קובץ

תאריך

שעה

פלטפורמה

דרישת SP

ענף שירות

Certadm.dll

6.1.7601.22705

419,840

30-May-2014

08:00

x64

ללא

לא ישים

Ocsprevp.dll

6.1.7601.22705

184,832

30-May-2014

08:00

x64

SPR

AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

ללא

לא ישים

מידע קובץ נוסף עבור Windows 7 ו- Windows Server 2008 R2

קבצים נוספים עבור כל הגירסאות מבוססות x86 הנתמכות של Windows 7

מאפיין קובץ

ערך

שם קובץ

X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest

גירסת קובץ

לא ישים

גודל קובץ

720

תאריך (UTC)

30-May-2014

שעה (UTC)

13:22

פלטפורמה

לא ישים

שם קובץ

X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest

גירסת קובץ

לא ישים

גודל קובץ

719

תאריך (UTC)

30-May-2014

שעה (UTC)

13:22

פלטפורמה

לא ישים

שם קובץ

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

גירסת קובץ

לא ישים

גודל קובץ

63,628

תאריך (UTC)

30-May-2014

שעה (UTC)

07:59

פלטפורמה

לא ישים

שם קובץ

X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest

גירסת קובץ

לא ישים

גודל קובץ

11,236

תאריך (UTC)

30-May-2014

שעה (UTC)

08:00

פלטפורמה

לא ישים

קבצים נוספים עבור כל גירסאות מבוססות x64 הנתמכות של Windows 7 ו- Windows Server 2008 R2

מאפיין קובץ

ערך

שם קובץ

Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest

גירסת קובץ

לא ישים

גודל קובץ

723

תאריך (UTC)

30-May-2014

שעה (UTC)

13:22

פלטפורמה

לא ישים

שם קובץ

Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest

גירסת קובץ

לא ישים

גודל קובץ

721

תאריך (UTC)

30-May-2014

שעה (UTC)

13:22

פלטפורמה

לא ישים

שם קובץ

Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest

גירסת קובץ

לא ישים

גודל קובץ

724

תאריך (UTC)

30-May-2014

שעה (UTC)

13:22

פלטפורמה

לא ישים

שם קובץ

Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest

גירסת קובץ

לא ישים

גודל קובץ

63,632

תאריך (UTC)

30-May-2014

שעה (UTC)

08:30

פלטפורמה

לא ישים

שם קובץ

Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest

גירסת קובץ

לא ישים

גודל קובץ

11,240

תאריך (UTC)

30-May-2014

שעה (UTC)

08:30

פלטפורמה

לא ישים

שם קובץ

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

גירסת קובץ

לא ישים

גודל קובץ

63,628

תאריך (UTC)

30-May-2014

שעה (UTC)

07:59

פלטפורמה

לא ישים


מצב

Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft הרשומים במקטע 'חל על'.

מידע נוסף

תיקון חם זה מספק שינוי עיצוב ההופכת את Microsoft של משיב OCSP מודע כל האישורים אודותיו התנאי הבא מתקיים:

  • הם מונפקים על-ידי רשות האישורים.

  • הם לא בוטל.

  • הן נמצאות כעת משלהם תקופת התוקף.

הפניות

למד אודות שבו Microsoft משתמשת לתיאור עדכוני תוכנה.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×