Elérhető egy olyan frissítés, amely lehetővé teszi a rendszergazdák számára a megbízható és a letiltott CTL listák frissítését a Windows leválasztott környezeteiben

A következőkre vonatkozik: Windows Vista Service Pack 2Windows Vista BusinessWindows Vista Business 64-bit Edition

Összefoglaló


Ez a szoftverfrissítés az alábbi fejlesztéseket biztosítja a Windows rendszerekhez:
  • Lehetővé teszi a rendszergazdák számára a tartományhoz csatlakoztatott számítógépek beállítását, hogy azok a megbízható és a letiltott CTL (megbízható bizonyítványok listája) listákhoz is használják az automatikus frissítési szolgáltatást. A számítógépek a Windows Update hely elérése nélkül használhatják az automatikus frissítés szolgáltatást.
  • Lehetővé teszi a rendszergazdák számára a tartományhoz csatlakoztatott számítógépek beállítását, hogy azok egymástól függetlenül választhassák ki a megbízható és a letiltott CTL listákat az automatikus frissítési szolgáltatás használatával.




  • Lehetővé teszi, hogy a rendszergazdák megvizsgálják a legfelső szintű hitelesítésszolgáltatók (CA) készletét a Microsoft Root Certificate programban.
Ezekről a módosításokról és fejlesztésekről a Microsoft következő weblapján talál további információt:

Szükséges előzetes ismeretek


Ez a Tudásbázis-cikk a nyilvános kulcsokra épülő infrastruktúrák (PKI) rendszergazdái számára íródott, akik rendelkeznek a csoportházirendek, a harmadik féltől származó legfelső szintű frissítések, a nem megbízható tanúsítványok és a tiltólisták alapszintű ismeretével. A Tudásbázis-cikk továbbá olyan PKI-rendszergazdák számára is készült, akik a csoportházirend-frissítő segédprogram használatával szerkeszteni tudják az egyszerű ADM-/ADMX-fájlokat a házirendek bevezetéséhez. Az ADMX-fájlok használatáról a következő cikkben talál további információt: Részletes útmutató a csoportházirendek ADMX-fájljainak kezeléséhez.

Háttér


A Windows Root Certificate program lehetővé teszi a megbízható főtanúsítványok automatikus kiosztását a Windows rendszerben. A Windows Root Certificate Program taglistáiról a Microsoft következő webhelyén talál további információt: A megbízható főtanúsítványok az alábbi módszerekkel oszthatók ki:
  1. Automatikus: Az ügyfelek az automatikus frissítési rendszerrel tölthetik le és frissíthetik a megbízható főtanúsítványokat. A megbízható főtanúsítványok listáját a megbízható tanúsítványok listája (megbízható CTL) tartalmazza a Windows Update-kiszolgálókon.
  2. Kézi: A felhasználók egy önkicsomagoló IEXPRESS-csomagban tölthetik le a megbízható főtanúsítványok listáját a Microsoft letöltőközpontjából, a Windows katalógusból és a Microsoft Windows Server Update Services (WSUS) szolgáltatásból. Az IEXPRESS-csomag a megbízható CTL listával egyszerre jelenik meg.
A főtanúsítványok kiosztásáról a Microsoft következő webhelyén talál további információt:
A Windows Root Certificate Program tagjai (Előfordulhat, hogy a tartalom angol nyelven érhető el)
A nem megbízható főtanúsítványok (a köztudottan hamis tanúsítványok) kiosztása az alábbi módszerekkel lehetséges:
  1. Automatikus: Az ügyfelek az automatikus frissítési rendszerrel tölthetik le és frissíthetik a nem megbízható főtanúsítványokat. A nem megbízható főtanúsítványok listáját egy CTL (nem megbízható CTL) tartalmazza a Windows Update-kiszolgálókon. A nem megbízható főtanúsítványok automatikus letöltéséről a Microsoft következő webhelyén talál további információt:
  2. Kézi: A felhasználók egy önkicsomagoló IEXPRESS-csomagban tölthetik le a nem megbízható tanúsítványok listáját a Windows Update szolgáltatásból. Az IEXPRESS-csomag két héttel a nem megbízható CTL lista után jelenik meg.
Megjegyzés: A megbízható és a nem megbízható főtanúsítványok automatikus frissítési mechanizmusa megegyezik. Az automatikus frissítési mechanizmust mindkét tanúsítványtípus esetében ugyanazon beállításjegyzék-beállítás használatával tilthatja le. További információért tekintse meg A Főtanúsítványok frissítése szolgáltatás felügyelete az internetről érkező és az internetre küldött információ áramlásának megelőzésére című részt.

Amennyiben saját kezűleg kezeli a megbízható főtanúsítványokat, javasoljuk a megbízható CTL az automatikus frissítési mechanizmusának letiltását.

Ismert problémák


A szoftverfrissítés telepítése előtt az alábbi problémákkal találkozhat a tanúsítványok kezelése közben:
  • A megbízható és nem megbízható főtanúsítványok leválasztott frissítéséhez a jelen Tudásbázis-cikk „Háttér” című szakaszában ismertetett IEXPRESS-csomagokat kell használnia. Az IEXPRESS-csomagokat azonban manuálisan kell telepítenie. Továbbá, bár mindent megteszünk, hogy a csomagok a CTL-kiosztással egy időben elérhetőek legyenek, előfordulhat, hogy az IEXPRESS-csomagok késnek. 

    Megjegyzés: A leválasztott környezet olyan környezet, amelyben az alábbi feltételek teljesülnek:
    • A Windows Update szolgáltatás közvetlen hozzáférése le van tiltva.
    • A megbízható és a nem megbízható CTL listák automatikus frissítési mechanizmusa is le van tiltva.
  • A megbízható és a nem megbízható CTL listák automatikus frissítési mechanizmusa nem tiltható le egymástól függetlenül. A megbízható és a nem megbízható CTL listák automatikus frissítési mechanizmusa csak együtt tiltható le.

    Megjegyzés: A megbízható főtanúsítványok listáját saját kezűleg kezelő rendszergazdák számára ajánlott az Automatikus frissítés szolgáltatás letiltása a megbízható CTL listák esetében. Az Automatikus frissítés szolgáltatás letiltása azonban nem ajánlott a rendszergazdák számára a nem megbízható CTL listák esetében.
  • A megbízható főtanúsítványaik listáját saját maguk kezelő felhasználók számára nem létezik olyan mechanizmus, amellyel a gyökérprogramban egyszerűen megtekinthetik a főtanúsítványokat és azonosíthatják a megbízható tanúsítványokat.

A megoldás


Az új szoftverfrissítés az alábbi javításokat tartalmazza, amelyek a jelen Tudásbázis-cikk „Problémák leírása” című szakaszában ismertetett hibákat javítják.
  • A szoftverfrissítés az alábbi szolgáltatásokat adja hozzá a Windows rendszerben, amelyek lehetővé teszik az automatikus frissítési mechanizmust leválasztott környezetben történő használatát:
    1. Egy új beállításjegyzék-beállítás: Ez a beállításjegyzék-beállítás lehetővé teszi, hogy a megbízható és nem megbízható CTL listák letöltéséhez használt URL-címet a Windows Update webhelyről egy szervezeten belüli megosztott helyre módosítsa. A beállításjegyzék-beállítás a FILE és a HTTP sémákat egyaránt támogatja. A beállításjegyzék-beállításról a jelen Tudásbázis-cikk Beállításkulcsok című szakaszában talál további információt.

      Megjegyzés: Amennyiben az URL-címet egy helyi megosztott mappára módosítja, a helyi megosztott mappát a Windows Update-mappával együtt kell szinkronizálnia.
    2. Egy új beállításcsoport a Certutil eszközben: Ezek a beállítások további módszereket biztosítanak a mappák szinkronizálására. Ezekről a beállításokról a jelen Tudásbázis-cikk Új műveletek a Certutil segédprogramban című szakaszában talál további információt.
  • A szoftverfrissítés egymástól függetlenné teszi a megbízható és a nem megbízható CTL listák automatikus frissítési mechanizmusát. A frissítés telepítése után például egy beállításkulcs használatával lehetségessé válik, hogy csak a megbízható CTL listák automatikus frissítési mechanizmusát tiltsa le. A beállításkulcsokról a jelen Tudásbázis-cikk Beállításkulcsok című szakaszában talál további információt.
  • A szoftverfrissítés tartalmaz egy új eszközt, amellyel a rendszergazdák megtekinthetik a megbízható főtanúsítványok készletét a Microsoft Root Certificate programban. Ez az eszköz olyan rendszergazdák számára készült, akik vállalati környezetben kezelik a megbízható főtanúsítványok készletét. A rendszergazdák az eszköz segítségével kijelölhetik, egy szerializált tanúsítványtárolóba exportálhatják és a csoportházirend használatával kioszthatják a megbízható főtanúsítványok készletét. További információt a jelen Tudásbázis-cikk Új műveletek a Certutil segédprogramban című szakaszában talál.

Frissítési információk

A következő fájlok letölthetők a Microsoft letöltőközpontjából:


A Windows Vista összes támogatott x86-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Vista összes támogatott x64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Server 2008 összes támogatott x86-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Server 2008 összes támogatott x64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Server 2008 rendszer összes támogatott IA-64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows 7 rendszer összes támogatott x86-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows 7 összes támogatott x64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Embedded Standard 7 rendszer összes támogatott x86-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

Az x64-alapú rendszereken futó Windows Embedded Standard 7 rendszer összes támogatott x64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Server 2008 R2 összes támogatott x64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Server 2008 R2 rendszer összes támogatott IA-64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows 8 rendszer összes támogatott x86-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows 8 összes támogatott x64-alapú verziója esetén

Letöltés A frissítőcsomag letöltése.

A Windows Server 2012 összes támogatott verziója esetén

Letöltés A frissítőcsomag letöltése.
Kiadás dátuma: 2011. június 11.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Újraindítás szükségessége

A gyorsjavítás telepítése után újra kell indítania a számítógépet.

Gyorsjavítások helyettesítése

Ez a gyorsjavítás helyettesíti a 2661254. számú gyorsjavítást.






Fájlinformációk

A gyorsjavítás globális verziója a következő táblázatokban található fájlattribútumokkal rendelkező fájlokat telepíti. A fájlok dátuma és időpontja egyezményes világidő (UTC) szerint van megadva. A fájlok dátuma és időpontja a helyi számítógépen a helyi idő szerint, és a téli-nyári időszámítás aktuális beállításának megfelelően jelenik meg. A dátumok és időpontok ezenkívül a fájlokon végrehajtott bizonyos műveletek esetén is módosulhatnak.

Műszaki hivatkozások a változásokhoz


Új műveletek a Certutil segédprogramban

SyncWithWU
Ez a művelet a célkönyvtár a Windows Update webhellyel való szinkronizálására szolgál. A művelet szintaxisa a következő:
CertUtil [kapcsolók] -syncWithWU  Célkönyvtár 

Megjegyzés: A Célkönyvtár az a könyvtár, ahová a rendszer másolja a fájlokat. Amikor futtatja a parancsot, az alábbi fájlok töltődnek le a Windows Update webhelyről:
  • Authrootstl.cab: A harmadik féltől származó főtanúsítványok CTL listáját tartalmazza.
  • Disallowedcertstl.cab: A letiltott tanúsítványok CTL listáját tartalmazza.
  • Disallowedcert.sst: A letiltott tanúsítványokat tartalmazza.
  • Ujjlenyomat.crt: Harmadik féltől származó főtanúsítványok.
Egy célkönyvtárat például a következő parancs futtatásával szinkronizálhat a Windows Update webhellyel:
CertUtil -syncWithWU \\számítógép_neve\megosztási_név\célkönyvtár 
GenerateSSTFromWU
Ez a művelet az .sst fájlok generálására szolgál a Windows Update webhelyről. A művelet szintaxisa a következő:
CertUtil [kapcsolók] -generateSSTFromWU SSTFile 
Megjegyzés: Az SSTFile a létrehozott .sst fájl neve. A létrehozott .sst fájl tartalmazza a Windows Update webhelyről letöltött, harmadik féltől származó főtanúsítványokat.

A Windows Update webhelyről például a következő parancs futtatásával hozhat létre .sst fájlokat:
CertUtil –generateSSTFromWU Rootstore.sst 

Beállításkulcsok

A frissítés az alábbi új beállításkulcsokat tartalmazza:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\DisableRootAutoUpdate A megbízható CTL listák automatikus frissítésének letiltásához állítsa a beállításkulcsot 1 értékre.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot\EnableDisallowedCertAutoUpdateA letiltott CTL listák automatikus frissítésének engedélyezéséhez állítsa a beállításkulcsot 1 értékre.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate\RootDirUrlEz a beállításkulcs a CTL listák lekéréséhez használt elérési utakat konfigurálja.