Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A PKI-objektumok hálózaton keresztüli lekérése Windows Vista SP1 és Windows Server 2008 rendszerben

Fontos: A cikk a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosításával is foglalkozik. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, illetve győződjön meg arról, hogy szükség esetén helyre tudja állítani azt. A beállításjegyzék biztonsági mentéséről, visszaállításáról és módosításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben
Összefoglaló
A tanúsítványok elérési útjának érvényesítése során Windows Vista Service Pack 1 (SP1) és Windows Server 2008 rendszerben előfordulhat, hogy az objektumok hálózatról való lekérése tanúsítványok és CRL listák (visszavont tanúsítványok listája) formájában történik. A Windows Vista SP1 és a Windows Server 2008 ezt az új, hálózaton keresztüli lekérést biztosító funkciót a FILE, a HTTP és az LDAP protokoll segítségével támogatja.

A nyilvános kulcsok infrastruktúrája (PKI) objektumainak hálózaton keresztüli lekérésére vonatkozó FILE protokoll alapértelmezés szerint le van tiltva a hálózaton keresztüli lekérési folyamat fokozott biztonsága érdekében. Az LDAP vagy a HTTP protokollt használó, hálózaton keresztüli lekérési folyamat továbbá módosult Windows Vista SP1 és Windows Server 2008 rendszerben. E változásokról bővebben a jelen cikk további információkat tartalmazó részében olvashat.
További információ
Figyelmeztetés: A beállításszerkesztővel (Rendszerleíróadatbázis-szerkesztő) vagy más eszközzel helytelenül módosított beállításjegyzék komoly problémákat okozhat, amelyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja az ilyen jellegű problémák megoldhatóságát, ezért a beállításjegyzéket csak saját felelősségére módosíthatja.

A FILE protokollt használó, hálózaton keresztüli lekérési folyamat változásai

A FILE protokollt használó, hálózaton keresztüli lekérési folyamat alapértelmezés szerint le van tiltva a tanúsítványokkal kapcsolatos műveletek esetében. Ha engedélyezni szeretné ezt a szolgáltatást, kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Kattintson a jobb gombbal a Config elemre, mutasson az Új pontra, és kattintson a Duplaszó parancsra.
  4. Írja be az AllowFileUrlScheme értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal az AllowFileUrlScheme elemre, és válassza a Módosítás parancsot.
  6. Írja be az Érték mezőbe a 0x01 értéket, majd kattintson az OK gombra.
  7. Kattintson a Fájl menü Kilépés parancsára.
Ez a beállítás visszaállítja a számítógépet a Windows XP SP2 és a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiadásának megfelelő működésre.

Az LDAP protokollt használó, hálózati lekérési folyamat változásai

Windows Vista SP1 és Windows Server 2008 rendszerben a PKI-ügyfél alapértelmezés szerint aláírja és titkosítja a PKI-objektumok minden LDAP-alapú adatforgalmát. Ha továbbá a hitelesítésre csak a hálózati lekéréshez van szükség, Kerberos-hitelesítés történik. Tesztelési célból érdemes lehet Windows Vista SP1 és Windows Server 2008 rendszerben az LDAP-alapú adatforgalmat aláíró és titkosító funkciót letiltani. Ehhez hajtsa végre az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Kattintson a jobb gombbal a Config elemre, mutasson az Új pontra, és kattintson a Duplaszó parancsra.
  4. Írja be a DisableLDAPSignAndEncrypt értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal a DisableLDAPSignAndEncrypt elemre, és válassza a Módosítás parancsot.
  6. Írja be az Érték mezőbe a 0x01 értéket, majd kattintson az OK gombra.
  7. Kattintson a Fájl menü Kilépés parancsára.
A beállítás alkalmazása után a hitelesítéshez NTLM- vagy Kerberos-hitelesítő adatok használatosak. A Sign és az Encrypt jelző továbbá már nincs beállítva az LDAP-kérésekben. Ez a beállítás visszaállítja a számítógépet a Windows XP SP2 és a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiadásának megfelelő működésre.

A HTTP protokollt használó, hálózaton keresztüli lekérési folyamat változásai

Windows Vista SP1 és Windows Server 2008 rendszerbeli PKI-ügyfél esetén a HTTP protokollt használó, hálózaton keresztüli lekérési folyamat csak a helyileg konfigurált proxyk esetén végez hitelesítést. Az, hogy megtörténik-e a hitelesítés, a proxy által visszaadott hibaüzenettől függ. Ha a proxy a következőhöz hasonló hibaüzenetet adja vissza, a hitelesítés megtörténik:
HTTP 407: Proxyhitelesítés szükséges.
Ha a proxy a következőhöz hasonló hibaüzenetet adja vissza, a hitelesítés nem történik meg:
HTTP 401: Hozzáférés megtagadva.
Megjegyzés: Ha proxyhitelesítésre van szükség, akkor a rendszer mind a Kerberos-, mind az NTLM-hitelesítést végrehajtja.

Ha módosítani szeretné ezt az alapértelmezett viselkedést, kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot, majd kattintson az OK gombra.
  2. Keresse meg a következő beállításkulcsot, majd kattintson rá:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Kattintson a jobb gombbal a Config elemre, mutasson az Új pontra, és kattintson a Duplaszó parancsra.
  4. Írja be az EnableInetUnknownAuth értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal az EnableInetUnknownAuth elemre, és válassza a Módosítás parancsot.
  6. Írja be az Érték mezőbe a 0x01 értéket, majd kattintson az OK gombra.
  7. Kattintson a Fájl menü Kilépés parancsára.
A beállítás alkalmazását követően a hitelesítés akkor is megtörténik, ha a proxy „HTTP 401” kezdetű hibaüzenetet ad vissza. Ez a beállítás visszaállítja a számítógépet a Windows XP SP2 és a Windows Server 2003 SP1 rendszernek, illetve a Windows Vista eredeti kiadásának megfelelő működésre.
Tulajdonságok

Cikkazonosító: 946401 - Utolsó ellenőrzés: 04/16/2008 13:28:00 - Verziószám: 2.1

Service Pack 1 szervizcsomag a Windows Vista rendszerhez, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

  • kbhowto kbinfo kbexpertiseinter KB946401
Visszajelzés
amTracker.init(); >