Layanan Online Responder tidak mengembalikan baik deterministik untuk semua sertifikat yang tidak termasuk dalam CRL

Gejala

Pertimbangkan skenario berikut ini:

  • Anda memiliki Microsoft Online Responder layanan yang diinstal di server yang menjalankan Windows Server 2008 R2 atau Windows Server 2012 R2.

  • Server digunakan untuk mengkonfigurasi dan mengelola validasi (OCSP).


Dalam skenario ini, Layanan Online Responder tidak mengembalikan nilai deterministik baik untuk semua sertifikat yang tidak termasuk dalam daftar pembatalan sertifikat (CRL).

Penyebab

Masalah ini terjadi karena OCSP tidak memverifikasi dengan sumber yang telah dikonfirmasi bahwa sertifikat sebenarnya dikeluarkan oleh otoritas sertifikat yang bersangkutan. Sebaliknya, jika sertifikat yang tidak termasuk dalam CRL, Layanan Online Responder menganggap bahwa sertifikat yang sah dan mengembalikan nilai baik.

Pemecahan masalah

Untuk menyelesaikan masalah ini di Windows 8.1 atau Windows Server 2012 R2, instal pemutakhiran 2967917. Untuk informasi selengkapnya, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

Juli 2014 Batal pemutakhiran untuk Windows RT 8.1, Windows 8.1 dan Windows Server 2012 R2
Untuk menyelesaikan masalah ini di Windows 7 atau Windows Server 2008 R2, instal hotfix yang dijelaskan di bagian "Informasi Hotfix" di artikel ini.

Sebelum Anda menginstal perbaikan terbaru ini, Anda harus mengkonfigurasi Layanan OCSP membaca nomor seri yang dikeluarkan oleh otoritas sertifikat. Untuk melakukannya, ikuti langkah-langkah di bagian ini untuk membuat direktori lokasi di mana untuk menyimpan berkas nomor seri dan membuat kunci registri yang mengarah ke direktori ini.

Catatan

  • Direktori dapat terletak pada jaringan berbagi atau host di komputer lokal. Jika Anda mengatur konfigurasi array, kami sarankan Anda host direktori di berbagi jaringan sehingga semua array anggota dapat memiliki "terbaca" akses.

  • Terlepas dari mana direktori terletak, pastikan bahwa layanan OCSP memiliki izin baca ke direktori. Tataan registri tidak akan berlaku untuk semua Responders daring Microsoft yang tidak patch oleh perbaikan terbaru ini.

Mengkonfigurasi Layanan OCSP

Jalankan langkah-langkah berikut ini pada komputer otoritas sertifikat yang Anda telah mengonfigurasi Layanan OCSP.

Langkah 1: Struktur direktori

  1. Jalankan Notepad, dan kemudian tempel contoh skrip berikut ke dokumen baru:

    param(    [ValidateScript({Test-Path $_})]
    [String] $Path
    )
    pushd $Path
    dir | foreach {
    remove-item $_ -force
    }
    certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
    New-Item -type File $matches[1] | out-null
    }
    }
    popd
  2. Simpan dokumen baru sebagai Certs.ps1.

  3. Membuat direktori di mana berkas kosong yang sesuai untuk semua nomor seri diterbitkan yang akan disimpan.

  4. Menjalankan skrip Certs.ps1. Untuk melakukannya, jalankan perintah berikut di Windows PowerShell:

    Certs.ps1 < direktori lokasi yang dibuat di langkah 3 >

  5. Periksa direktori yang Anda buat di langkah 3 untuk memastikan bahwa file yang terkait dengan nomor seri dikeluarkan.

    Catatan Jika Anda memiliki banyak CAs host di lingkungan Anda, pastikan bahwa mereka sesuai nomor seri direktori berbeda. Jangan berbagi direktori yang sama antara CAs berbeda.

  6. Menjalankan skrip pada komputer CA, dan meng-upload file disimpan dengan memberikan ACL ketat. Berkas tidak boleh diedit. Pastikan bahwa semua komputer Responder daring Microsoft dapat mengakses lokasi ini.

Informasi lebih lanjut tentang prosedur ini

Microsoft Online Responder mengembalikan nilai yang tidak diketahui untuk semua sertifikat yang dikeluarkan, namun belum di berkas yang dibuat di langkah 6. Skrip ini harus dijalankan pada interval seperti biasa dan refresh agar Responder daring Microsoft untuk memberikan status terkini. Pengaturan interval ini tergantung pada lingkungan penyebaran khusus Anda. Kami sarankan Anda memilih interval yang sesuai di mana saja dari empat jam ke nilai berikutnya CRL penerbitan tanggal.

Langkah 2: registri

Peringatan Masalah serius dapat terjadi apabila Anda salah memodifikasi registri menggunakan Penyunting registri atau metode lainnya. Masalah ini mungkin mengharuskan Anda menginstal sistem operasi. Microsoft tidak dapat menjamin bahwa masalah ini dapat diselesaikan. Mengubah registri risiko Anda sendiri.

  1. Keluar dari semua aplikasi Windows.

  2. Klik Mulai, klik Jalankan, ketik regedit, dan kemudian klik OK.

  3. Temukan dan kemudian pilih subkunci registri berikut ini:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder

  4. Klik otoritas sertifikasi (CA) yang Anda buat struktur direktori.

  5. Klik kanan Node penyedia, arahkan ke baru, dan kemudian klik Nilai untai multi.

  6. Ketik IssuedSerialNumbersDirectories, dan kemudian tekan Enter.

  7. Klik kanan IssuedSerialNumbersDirectories, dan kemudian klik Ubah.

  8. Di kotak data nilai , ketik jalur ke direktori yang Anda buat di langkah 3 dari prosedur struktur direktori dan yang berisi nomor seri dikeluarkan, dan kemudian klik OK.

    Untuk jalur direktori, gunakan format berikut ini:


    \\<computername>\<directorylocation>Misalnya, gunakan lintasan yang menyerupai berikut ini:


    \\contoso-ocspfileserver\SerialNumbers

  9. Pada menu Berkas, klik Exit untuk keluar dari Editor Registri.

  10. Instal paket perbaikan terbaru yang disebutkan dalam artikel ini.

Setelah Anda mengikuti langkah-langkah "Registri" dan "Struktur direktori", Instal paket perbaikan terbaru yang disebutkan dalam artikel ini.

Hasil

Setelah hotfix diinstal, Layanan Online Responder harus melakukan hal berikut ini:

  • Mengembalikan nilai baik untuk sertifikat yang akan diverifikasi

  • Mengembalikan nilai REVOKED untuk sertifikat yang disertakan dalam CRL

  • Mengembalikan nilai yang tidak diketahui untuk semua sertifikat yang tidak dapat diverifikasi

Informasi Hotfix

Tersedia hotfix yang didukung dari Microsoft Support. Namun, hotfix ini ditujukan untuk memperbaiki masalah yang dijelaskan di artikel ini. Hotfix ini hanya berlaku untuk sistem yang mengalami masalah yang dijelaskan di artikel ini. Hotfix ini mungkin akan menerima pengujian tambahan. Oleh karena itu, jika Anda tidak terlalu dipengaruhi oleh masalah ini, kami sarankan Anda menunggu pemutakhiran perangkat lunak berikutnya yang berisi perbaikan terbaru ini.

Apabila hotfix tersedia untuk diunduh, ada bagian "Tersedia unduhan Hotfix" di bagian atas artikel Pangkalan Pengetahuan ini. Jika bagian ini tidak muncul, hubungi layanan pelanggan Microsoft dan dukungan untuk mendapatkan hotfix.

Catatan Jika terjadi masalah tambahan atau apabila pemecahan masalah apa pun diperlukan, Anda mungkin harus membuat permintaan layanan secara terpisah. Biaya dukungan biasa akan berlaku untuk dukungan tambahan pertanyaan dan masalah yang tidak memenuhi syarat untuk hotfix ini. Untuk daftar lengkap nomor telepon layanan pelanggan Microsoft dan dukungan atau untuk membuat permintaan layanan terpisah, kunjungi situs web Microsoft berikut:

Catatan Formulir "Tersedia Unduhan Hotfix" menampilkan bahasa hotfix tersedia. Jika Anda tidak melihat bahasa Anda, hal ini karena hotfix tidak tersedia untuk bahasa tersebut.

Prasyarat

Untuk menerapkan hotfix ini, Anda harus memiliki untuk Windows 7 atau Windows Server 2008 R2 yang diinstal.

Persyaratan menghidupkan ulang

Anda tidak harus menghidupkan ulang komputer setelah menerapkan hotfix ini.

Informasi penggantian hotfix

Hotfix ini tidak menggantikan hotfix yang diedarkan sebelumnya.

Versi bahasa Inggris (Amerika Serikat) dari hotfix ini menginstal berkas yang memiliki atribut yang tercantum dalam tabel berikut. Tanggal dan waktu untuk berkas-berkas tersebut dicantumkan dalam Waktu Universal Terkoordinasi (UTC). Tanggal dan waktu untuk berkas-berkas tersebut di komputer lokal Anda ditampilkan dalam waktu lokal disertai selisih waktu daylight saving (DST) saat. Selain itu, tanggal dan waktu dapat berubah saat Anda menjalankan pengoperasian tertentu pada berkas.

Catatan informasi berkas Windows 7 dan Windows Server 2008 R2 danPenting Windows 7 dan hotfix Windows Server 2008 R2 disertakan dalam paket yang sama. Namun, hotfix pada halaman Permintaan Hotfix dicantumkan pada kedua sistem operasi. Untuk meminta paket hotfix yang berlaku untuk salah satu atau kedua sistem operasi, pilih hotfix yang tercantum di bawah "Windows 7/Windows Server 2008 R2" di halaman tersebut. Selalu rujuk ke bagian "Berlaku untuk" di artikel untuk menentukan sistem operasi aktual yang diterapkan untuk setiap hotfix.

  • Berkas yang berlaku untuk produk tertentu, SR_Level (RTM, SPn), dan cabang layanan (LDR, GDR) dapat diidentifikasi dengan memeriksa nomor versi berkas seperti yang ditunjukkan pada tabel berikut.

    Versi

    Produk

    SR_Level

    Cabang Layanan

    6.1.760
    1. 22xxx

    Windows 7 dan Windows Server 2008 R2

    SP1

    LDR

  • Cabang Layanan GDR hanya berisi hotfix yang dirilis secara luas untuk mengatasi masalah yang tersebar luas dan sangat penting. Cabang layanan LDR berisi hotfix selain perbaikan yang diedarkan secara luas.

  • Berkas MANIFEST (.manifest) dan berkas MUM (.mum) yang diinstal untuk setiap lingkungan yang dicantumkan secara terpisah di bagian "Informasi file tambahan untuk Windows 7 dan Windows Server 2008 R2". Berkas MUM dan berkas MANIFEST, dan terkait keamanan berkas Katalog (.cat), yang sangat penting untuk mempertahankan status komponen pemutakhiran. File Katalog keamanan, di mana atribut tidak dicantumkan, ditandai dengan tanda tangan digital Microsoft.

Untuk semua Windows 7 versi x86 yang didukung

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Platform

Persyaratan SP

Cabang Layanan

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Tidak ada

Tidak dapat diterapkan

Ocsprevp.dll

6.1.7601.22705

151,552

30-May-2014

07:35

x86

SPR

X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

Untuk semua x64 versi yang didukung Windows 7 dan Windows Server 2008 R2

Nama file

Versi file

Ukuran file

Tanggal

Waktu

Platform

Persyaratan SP

Cabang Layanan

Certadm.dll

6.1.7601.22705

419,840

30-May-2014

08:00

x64

Tidak ada

Tidak dapat diterapkan

Ocsprevp.dll

6.1.7601.22705

184,832

30-May-2014

08:00

x64

SPR

AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Tidak ada

Tidak dapat diterapkan

Informasi berkas tambahan untuk Windows 7 dan Windows Server 2008 R2

Berkas tambahan untuk semua Windows 7 versi x86 yang didukung

Properti file

Nilai

Nama file

X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

720

Tanggal (UTC)

30-May-2014

Waktu (UTC)

13:22

Platform

Tidak dapat diterapkan

Nama file

X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

719

Tanggal (UTC)

30-May-2014

Waktu (UTC)

13:22

Platform

Tidak dapat diterapkan

Nama file

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

63,628

Tanggal (UTC)

30-May-2014

Waktu (UTC)

07:59

Platform

Tidak dapat diterapkan

Nama file

X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

11,236

Tanggal (UTC)

30-May-2014

Waktu (UTC)

08:00

Platform

Tidak dapat diterapkan

Berkas tambahan untuk semua versi x64 berbasis Windows 7 dan Windows Server 2008 R2 yang didukung

Properti file

Nilai

Nama file

Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

723

Tanggal (UTC)

30-May-2014

Waktu (UTC)

13:22

Platform

Tidak dapat diterapkan

Nama file

Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

721

Tanggal (UTC)

30-May-2014

Waktu (UTC)

13:22

Platform

Tidak dapat diterapkan

Nama file

Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

724

Tanggal (UTC)

30-May-2014

Waktu (UTC)

13:22

Platform

Tidak dapat diterapkan

Nama file

Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

63,632

Tanggal (UTC)

30-May-2014

Waktu (UTC)

08:30

Platform

Tidak dapat diterapkan

Nama file

Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

11,240

Tanggal (UTC)

30-May-2014

Waktu (UTC)

08:30

Platform

Tidak dapat diterapkan

Nama file

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Versi file

Tidak dapat diterapkan

Ukuran file

63,628

Tanggal (UTC)

30-May-2014

Waktu (UTC)

07:59

Platform

Tidak dapat diterapkan


Status

Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

Informasi lebih lanjut

Perbaikan terbaru ini menyediakan perubahan desain yang membuat Microsoft OCSP Responder menyadari semua sertifikat yang berikut ini benar:

  • Mereka yang dikeluarkan oleh CA.

  • Mereka tidak ditarik.

  • Mereka yang saat ini di masa berlakunya lagi.

Referensi

Pelajari tentang yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×