Gejala
Pertimbangkan skenario berikut ini:
-
Anda memiliki Microsoft Online Responder layanan yang diinstal di server yang menjalankan Windows Server 2008 R2 atau Windows Server 2012 R2.
-
Server digunakan untuk mengkonfigurasi dan mengelola validasi Protokol Status sertifikat Online (OCSP).
Dalam skenario ini, Layanan Online Responder tidak mengembalikan nilai deterministik baik untuk semua sertifikat yang tidak termasuk dalam daftar pembatalan sertifikat (CRL).
Penyebab
Masalah ini terjadi karena OCSP tidak memverifikasi dengan sumber yang telah dikonfirmasi bahwa sertifikat sebenarnya dikeluarkan oleh otoritas sertifikat yang bersangkutan. Sebaliknya, jika sertifikat yang tidak termasuk dalam CRL, Layanan Online Responder menganggap bahwa sertifikat yang sah dan mengembalikan nilai baik.
Pemecahan masalah
Untuk menyelesaikan masalah ini di Windows 8.1 atau Windows Server 2012 R2, instal pemutakhiran 2967917. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
2967917 Juli 2014 Batal pemutakhiran untuk Windows RT 8.1, Windows 8.1 dan Windows Server 2012 R2
Untuk menyelesaikan masalah ini di Windows 7 atau Windows Server 2008 R2, instal hotfix yang dijelaskan di bagian "Informasi Hotfix" di artikel ini.
Sebelum Anda menginstal perbaikan terbaru ini, Anda harus mengkonfigurasi Layanan OCSP membaca nomor seri yang dikeluarkan oleh otoritas sertifikat. Untuk melakukannya, ikuti langkah-langkah di bagian ini untuk membuat direktori lokasi di mana untuk menyimpan berkas nomor seri dan membuat kunci registri yang mengarah ke direktori ini.
Catatan
-
Direktori dapat terletak pada jaringan berbagi atau host di komputer lokal. Jika Anda mengatur konfigurasi array, kami sarankan Anda host direktori di berbagi jaringan sehingga semua array anggota dapat memiliki "terbaca" akses.
-
Terlepas dari mana direktori terletak, pastikan bahwa layanan OCSP memiliki izin baca ke direktori. Tataan registri tidak akan berlaku untuk semua Responders daring Microsoft yang tidak patch oleh perbaikan terbaru ini.
Mengkonfigurasi Layanan OCSP
Jalankan langkah-langkah berikut ini pada komputer otoritas sertifikat yang Anda telah mengonfigurasi Layanan OCSP.
Langkah 1: Struktur direktori
-
Jalankan Notepad, dan kemudian tempel contoh skrip berikut ke dokumen baru:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Simpan dokumen baru sebagai Certs.ps1.
-
Membuat direktori di mana berkas kosong yang sesuai untuk semua nomor seri diterbitkan yang akan disimpan.
-
Menjalankan skrip Certs.ps1. Untuk melakukannya, jalankan perintah berikut di Windows PowerShell:
Certs.ps1 < direktori lokasi yang dibuat di langkah 3 >
-
Periksa direktori yang Anda buat di langkah 3 untuk memastikan bahwa file yang terkait dengan nomor seri dikeluarkan.
Catatan Jika Anda memiliki banyak CAs host di lingkungan Anda, pastikan bahwa mereka sesuai nomor seri direktori berbeda. Jangan berbagi direktori yang sama antara CAs berbeda. -
Menjalankan skrip pada komputer CA, dan meng-upload file disimpan dengan memberikan ACL ketat. Berkas tidak boleh diedit. Pastikan bahwa semua komputer Responder daring Microsoft dapat mengakses lokasi ini.
Informasi lebih lanjut tentang prosedur ini
Microsoft Online Responder mengembalikan nilai yang tidak diketahui untuk semua sertifikat yang dikeluarkan, namun belum di berkas yang dibuat di langkah 6. Skrip ini harus dijalankan pada interval seperti biasa dan refresh agar Responder daring Microsoft untuk memberikan status terkini. Pengaturan interval ini tergantung pada lingkungan penyebaran khusus Anda. Kami sarankan Anda memilih interval yang sesuai di mana saja dari empat jam ke nilai berikutnya CRL penerbitan tanggal.
Langkah 2: registri
Peringatan Masalah serius dapat terjadi apabila Anda salah memodifikasi registri menggunakan Penyunting registri atau metode lainnya. Masalah ini mungkin mengharuskan Anda menginstal sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri.
-
Keluar dari semua aplikasi Windows.
-
Klik Mulai, klik Jalankan, ketik regedit, dan kemudian klik OK.
-
Temukan dan kemudian pilih subkunci registri berikut ini:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Klik otoritas sertifikasi (CA) yang Anda buat struktur direktori.
-
Klik kanan Node penyedia, arahkan ke baru, dan kemudian klik Nilai untai multi.
-
Ketik IssuedSerialNumbersDirectories, dan kemudian tekan Enter.
-
Klik kanan IssuedSerialNumbersDirectories, dan kemudian klik Ubah.
-
Di kotak data nilai , ketik jalur ke direktori yang Anda buat di langkah 3 dari prosedur struktur direktori dan yang berisi nomor seri dikeluarkan, dan kemudian klik OK.
Untuk jalur direktori, gunakan format berikut ini:\\<computername>\<directorylocation>Misalnya, gunakan lintasan yang menyerupai berikut ini:
\\contoso-ocspfileserver\SerialNumbers
-
Pada menu Berkas, klik Exit untuk keluar dari Editor Registri.
-
Instal paket perbaikan terbaru yang disebutkan dalam artikel ini.
Setelah Anda mengikuti langkah-langkah "Registri" dan "Struktur direktori", Instal paket perbaikan terbaru yang disebutkan dalam artikel ini.
Hasil
Setelah hotfix diinstal, Layanan Online Responder harus melakukan hal berikut ini:
-
Mengembalikan nilai baik untuk sertifikat yang akan diverifikasi
-
Mengembalikan nilai REVOKED untuk sertifikat yang disertakan dalam CRL
-
Mengembalikan nilai yang tidak diketahui untuk semua sertifikat yang tidak dapat diverifikasi
Informasi Hotfix
Tersedia hotfix yang didukung dari Microsoft Support. Namun, hotfix ini ditujukan untuk memperbaiki masalah yang dijelaskan di artikel ini. Hotfix ini hanya berlaku untuk sistem yang mengalami masalah yang dijelaskan di artikel ini. Hotfix ini mungkin akan menerima pengujian tambahan. Oleh karena itu, jika Anda tidak terlalu dipengaruhi oleh masalah ini, kami sarankan Anda menunggu pemutakhiran perangkat lunak berikutnya yang berisi perbaikan terbaru ini.
Apabila hotfix tersedia untuk diunduh, ada bagian "Tersedia unduhan Hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak muncul, hubungi layanan pelanggan Microsoft dan dukungan untuk mendapatkan hotfix.
Catatan Jika terjadi masalah tambahan atau apabila pemecahan masalah apa pun diperlukan, Anda mungkin harus membuat permintaan layanan secara terpisah. Biaya dukungan biasa akan berlaku untuk dukungan tambahan pertanyaan dan masalah yang tidak memenuhi syarat untuk hotfix ini. Untuk daftar lengkap nomor telepon layanan pelanggan Microsoft dan dukungan atau untuk membuat permintaan layanan terpisah, kunjungi situs web Microsoft berikut:
http://support.microsoft.com/contactus/?ws=supportCatatan Formulir "Tersedia Unduhan Hotfix" menampilkan bahasa hotfix tersedia. Jika Anda tidak melihat bahasa Anda, hal ini karena hotfix tidak tersedia untuk bahasa tersebut.
Prasyarat
Untuk menerapkan hotfix ini, Anda harus memiliki Paket Layanan 1 untuk Windows 7 atau Windows Server 2008 R2 yang diinstal.
Persyaratan menghidupkan ulang
Anda tidak harus menghidupkan ulang komputer setelah menerapkan hotfix ini.
Informasi penggantian hotfix
Hotfix ini tidak menggantikan hotfix yang diedarkan sebelumnya.
Versi bahasa Inggris (Amerika Serikat) dari hotfix ini menginstal berkas yang memiliki atribut yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Waktu Universal Terkoordinasi (UTC). Tanggal dan waktu untuk berkas-berkas tersebut di komputer lokal Anda ditampilkan dalam waktu lokal disertai selisih waktu daylight saving (DST) saat. Selain itu, tanggal dan waktu dapat berubah saat Anda menjalankan pengoperasian tertentu pada berkas.
Catatan informasi berkas Windows 7 dan Windows Server 2008 R2 danPenting Windows 7 dan hotfix Windows Server 2008 R2 disertakan dalam paket yang sama. Namun, hotfix pada halaman Permintaan Hotfix dicantumkan pada kedua sistem operasi. Untuk meminta paket hotfix yang berlaku untuk salah satu atau kedua sistem operasi, pilih hotfix yang tercantum di bawah "Windows 7/Windows Server 2008 R2" di halaman tersebut. Selalu rujuk ke bagian "Berlaku untuk" di artikel untuk menentukan sistem operasi aktual yang diterapkan untuk setiap hotfix.
-
Berkas yang berlaku untuk produk tertentu, SR_Level (RTM, SPn), dan cabang layanan (LDR, GDR) dapat diidentifikasi dengan memeriksa nomor versi berkas seperti yang ditunjukkan pada tabel berikut.
Versi
Produk
SR_Level
Cabang Layanan
6.1.760
1. 22xxxWindows 7 dan Windows Server 2008 R2
SP1
LDR
-
Cabang Layanan GDR hanya berisi hotfix yang dirilis secara luas untuk mengatasi masalah yang tersebar luas dan sangat penting. Cabang layanan LDR berisi hotfix selain perbaikan yang diedarkan secara luas.
-
Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan yang dicantumkan secara terpisah di bagian "Informasi file tambahan untuk Windows 7 dan Windows Server 2008 R2". Berkas MUM dan berkas MANIFEST, dan terkait keamanan berkas Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.
Untuk semua Windows 7 versi x86 yang didukung
|
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
Persyaratan SP |
Cabang Layanan |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Tidak ada |
Tidak dapat diterapkan |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Untuk semua x64 versi yang didukung Windows 7 dan Windows Server 2008 R2
|
Nama file |
Versi file |
Ukuran file |
Tanggal |
Waktu |
Platform |
Persyaratan SP |
Cabang Layanan |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Tidak ada |
Tidak dapat diterapkan |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Tidak ada |
Tidak dapat diterapkan |
Informasi berkas tambahan untuk Windows 7 dan Windows Server 2008 R2
Berkas tambahan untuk semua Windows 7 versi x86 yang didukung
|
Properti file |
Nilai |
|---|---|
|
Nama file |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
720 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
13:22 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
719 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
13:22 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
63,628 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
07:59 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
11,236 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
08:00 |
|
Platform |
Tidak dapat diterapkan |
Berkas tambahan untuk semua versi x64 berbasis Windows 7 dan Windows Server 2008 R2 yang didukung
|
Properti file |
Nilai |
|---|---|
|
Nama file |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
723 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
13:22 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
721 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
13:22 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
724 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
13:22 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
63,632 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
08:30 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
11,240 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
08:30 |
|
Platform |
Tidak dapat diterapkan |
|
Nama file |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versi file |
Tidak dapat diterapkan |
|
Ukuran file |
63,628 |
|
Tanggal (UTC) |
30-May-2014 |
|
Waktu (UTC) |
07:59 |
|
Platform |
Tidak dapat diterapkan |
Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Informasi lebih lanjut
Perbaikan terbaru ini menyediakan perubahan desain yang membuat Microsoft OCSP Responder menyadari semua sertifikat yang berikut ini benar:
-
Mereka yang dikeluarkan oleh CA.
-
Mereka tidak ditarik.
-
Mereka yang saat ini di masa berlakunya lagi.
Referensi
Pelajari tentang terminologi yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft.
