מאפייני הבעיה
ב- Windows Server 2008, אתה מנסה לנהל אישורים פרוטוקול הרשמת אישורים פשוטה (SCEP) באמצעות שירותי הרשמה של התקן רשת (NDES). NDES מותקן כחלק של שירותי האישורים ב- Windows Server 2008. בתרחיש זה, אתה נתקל בבעיות הבאות:
בעיה 1
לא ניתן לעשות שימוש חוזר בסיסמאות בין התקנים.
בהתבסס על פרוטוקול SCEP, התקן נדרש כדי לשלוח סיסמה כשהוא מבקש אישור משרת SCEP בפעם הראשונה. השרת SCEP מנפיק אישור לאחר אימות הסיסמה.
התהליך לפיו השרת SCEP מנפיק אישור לאחר אימות הסיסמה הוא כדלהלן:
-
מנהל המערכת נכנס לאתר אינטרנט הניהול SCEP ומבקשת סיסמה.
-
השרת SCEP מייצר סיסמה אקראית, הוא מאוחסן במטמון ולאחר מכן מציג את סיסמת מנהל.
-
מנהל המערכת מגדיר את הסיסמה במכשיר.
-
ההתקן שולח סיסמה זו בבקשת הראשונית שלו לקבלת אישור.
הערה סיסמה זו תפוג בעוד 60 דקות. -
השרת מנפיק האישור, ואחר כך הוא מסיר את הסיסמה מהמטמון. הסיסמה יכולים לשמש עוד התקנים אחרים.
בעיה 2
אישורים SCEP אינו יכול להיות re-enrolled באופן אוטומטי לאחר שתוקפן פג.
עקב בעיות שני אלה, ייתכן שיחלפו מנהלים זמן רב כדי בקשת סיסמאות עבור כל ההתקנים וכדי להחיל עליהם אישורים SCEP.
פתרון
כדי לפתור בעיות אלה שני, התקן את התיקון החם 959193. תיקון חם זה מציג שני השיפורים הבאים:
לשיפור 1
לאחר החלת תיקון חם זה, ניתן להשתמש שוב סיסמאות בין התקנים. תהליך חדש כדי לנהל את הסיסמאות הוא כדלהלן:
-
השרת SCEP מאשרת את הגדרת הרישום עבור מצב "סיסמה יחיד". במצב זה, סיסמת מאסטר הוא נוצרים ומאוחסנים ברישום על-ידי שימוש בנתונים מוצפנים. סיסמת מאסטר לעולם אינה פגה.
-
מנהל מערכת נכנס לאתר האינטרנט של הניהול SCEP ומבקשת סיסמה. סיסמת מאסטר מועבר.
-
מנהל המערכת מגדיר את הסיסמה במכשיר. מאחר הסיסמה אינה זהה עבור כל ההתקנים מכיוון שהוא לעולם אינה פגה, מנהל המערכת יכול בקלות לכתוב קובץ script כדי לפרוס את הסיסמה בכל ההתקנים.
כיצד לאפשר לשיפור 1
חשוב הסעיף, שיטה או המשימה הזו מכילה פעולות המציינות כיצד לשנות את הרישום. עם זאת, עלולות להתרחש בעיות חמורות אם תשנה את הרישום באופן שגוי. לפיכך, ודא כי אתה מבצע צעדים אלה בקפידה. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. כך תוכל לשחזר את הרישום מאוחר יותר במקרה שתתעורר בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows
כדי להפוך תכונה זו לזמינה, צור את ערך הרישום הבא:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
הערה אם אתה מפעיל NDES תחת החשבון Network Service, עליך להעניק הרשאת שליטה מלאה לחשבון 'שירות רשת' תחת מפתח המשנה הבא ברישום: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
לשיפור 2
אישורים יכול להיות re-enrolled באופן אוטומטי לאחר שתוקפן פג. תכונה זו מופעלת באופן אוטומטי לאחר התקנת התיקון החם.
כברירת מחדל, בעת הגשת בקשת חידוש האישור על-ידי שימוש בתכונה זו, האישור החותם להיות באותו שם הנושא ושם הנושא החלופי האישור המבוקש. כדי לעקוף דרישה זו, הגדר את הערך של ערך הרישום DisableRenewalSubjectNameMatch תחת מפתח המשנה הבא ל- 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
הערה ייתכן שיהיה עליך ליצור ערך רישום זה באמצעות סוג REG_DWORD אם ערך הרישום אינו קיים.
מידע על תיקונים חמים
תיקון חם נתמך זמין מ-Microsoft. עם זאת, תיקון חם זה מיועד לפתור רק את הבעיה המתוארת במאמר זה. יש להחיל תיקון חם זה רק במערכות שהתעוררה בהן הבעיה המתוארת במאמר זה. תיקון חם זה עשוי לעבור בדיקות נוספות. לכן, אם המערכת שברשותך לא נפגעה באופן חמור מבעיה זו, מומלץ להמתין לעדכון התוכנה הבא המכיל תיקון חם זה.
אם התיקון החם זמין להורדה, ישנו סעיף "הורדת תיקון חם זמינה" בראש מאמר Knowledge Base. אם מקטע זה אינו מופיע, פנה לשירות הלקוחות והתמיכה של Microsoft כדי לקבל את התיקון החם.
הערה אם בעיות נוספות מתרחשות או אם נדרש פתרון בעיות כלשהו, ייתכן שתצטרך ליצור בקשת שירות נפרדת. דמי התמיכה המקובלים יחולו על שאלות וסוגיות תמיכה נוספות אשר אינן מצריכות את התיקון חם הספציפי הזה. לקבלת רשימה מלאה של מספרי הטלפון של התמיכה ושירות הלקוחות של Microsoft או כדי ליצור בקשת שירות נפרדת, בקר באתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/contactus/?ws=supportהערה הטופס "הורדת תיקון חם זמינה" מציג את השפות שעבורן התיקון החם זמין. אם אינך רואה את השפה שלך, הסיבה לכך היא שהתיקון חם אינו זמין עבור שפה זו.
תיקונים חמים Windows Vista ו- Windows Server 2008 חשובים כלולים בחבילות זהה. עם זאת, רק אחד מהמוצרים הללו עשוי להופיע בדף "בקשה לעדכון חם". כדי לבקש את חבילת התיקון החם החלה על Windows Vista ו- Windows Server 2008, פשוט בחר את המוצר המפורט בדף.
דרישות מוקדמות
אין תנאים מוקדמים.
דרישת הפעלה מחדש
עליך להפעיל מחדש את המחשב לאחר החלת תיקון חם זה.
מידע על החלפת התיקון החם
תיקון חם זה אינו מחליף תיקונים חמים אחרים שפורסמו בעבר.
פרטי קובץ
הגירסה האנגלית של תיקון חם זה כוללת את תכונות הקובץ (או תכונות קובץ מתקדמות יותר) המפורטות בטבלה הבאה. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). כשמציגים את פרטי הקובץ, היא מומרת לזמן המקומי. כדי לברר את הפרש השעות בין זמן UTC לזמן המקומי, השתמש בכרטיסייה אזור זמן בפריט ' תאריך ושעה ' בלוח הבקרה.
הערות מידע קובץ Windows Server 2008
קבצי. manifest וקבצי. mum מותקנים כל סביבה הם בנפרד הרשומים בסעיף "פרטי הקובץ נוספים עבור Windows Server 2008". קבצים אלה וקבצי (קטלוג האבטחה) המשויך. cat שלהם הם קריטיים לשמירה על מצב הרכיב המעודכן. קבצי. cat נחתמים באמצעות חתימה דיגיטלית של Microsoft. התכונות של קבצי אבטחה אלה אינן מפורטות.
עבור כל גירסאות מבוססות x86 נתמכות של Windows Server 2008
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
עבור כל גירסאות מבוססות x64 הנתמכות של Windows Server 2008
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
מצב
Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft הרשומים במקטע 'חל על'.
מידע נוסף
לקבלת מידע נוסף אודות SCEP, בקר באתר האינטרנט הבא של טיוטות אינטרנט אתר (IETF):
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
שים לב שמסמך זה יפוג ב- 25 ביולי, 2009. לקבלת מידע לאחר תאריך זה, חפש את "SCEP" בדף הבית של אתר האינטרנט.
Microsoft מספקת פרטי קשר של ספקים חיצוניים כדי לסייע לך באיתור תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה מוקדמת. Microsoft אינה ערבה למידת הדיוק של פרטי קשר של ספקים חיצוניים אלה.
לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
824684 תיאור המינוח הרגיל המשמש לתיאור עדכוני התוכנה של מיקרוסופט
מידע קובץ נוסף עבור Windows Server 2008
עבור כל גירסאות מבוססות x86 נתמכות של Windows Server 2008
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
|---|---|---|---|---|---|
|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
לא ישים |
13,172 |
18-Jan-2009 |
01:10 |
לא ישים |
|
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
לא ישים |
1,423 |
18-Jan-2009 |
01:10 |
לא ישים |
|
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
לא ישים |
13,647 |
18-Jan-2009 |
01:10 |
לא ישים |
|
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
לא ישים |
1,431 |
18-Jan-2009 |
01:10 |
לא ישים |
|
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
לא ישים |
43,475 |
17-Jan-2009 |
07:10 |
לא ישים |
עבור כל גירסאות מבוססות x64 הנתמכות של Windows Server 2008
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
לא ישים |
43,505 |
17-Jan-2009 |
09:42 |
לא ישים |
|
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
לא ישים |
13,284 |
18-Jan-2009 |
01:10 |
לא ישים |
|
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
לא ישים |
1,431 |
18-Jan-2009 |
01:10 |
לא ישים |
|
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
לא ישים |
13,763 |
18-Jan-2009 |
01:10 |
לא ישים |
|
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
לא ישים |
1,439 |
18-Jan-2009 |
01:10 |
לא ישים |
