Sintomi
Si consideri lo scenario seguente:
-
È il servizio Risponditore in linea di Microsoft installato su un server che esegue Windows Server 2008 R2 o Windows Server 2012 R2.
-
Il server viene utilizzato per configurare e gestire la convalida Online Certificate Status Protocol (OCSP).
In questo scenario, il servizio Risponditore in linea non restituisce un valore deterministico valida per tutti i certificati che non sono inclusi nell'elenco di revoca certificati (CRL).
Causa
Questo problema si verifica perché l'OCSP non consente di verificare con un'origine confermata che il certificato è stato effettivamente rilasciato dalla relativa autorità di certificazione corrispondente. Al contrario, se un certificato non è incluso nell'elenco CRL, il servizio Risponditore in linea si presuppone che il certificato sia valido e restituisce un valore del bene.
Risoluzione
Per risolvere questo problema in Windows 8.1 o Windows Server 2012 R2, installare l'aggiornamento 2967917. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
2967917 luglio 2014 aggiornamento cumulativo per Windows RT 8.1, 8.1 di Windows e Windows Server 2012 R2
Per risolvere questo problema in Windows 7 o Windows Server 2008 R2, installare l'hotfix descritto nella sezione "Informazioni sull'aggiornamento rapido" in questo articolo.
Prima di installare questo hotfix, è necessario configurare il servizio OCSP per leggere i numeri seriali che vengono emessi da autorità di certificazione. A tale scopo, seguire i passaggi in questa sezione per creare un percorso di directory in cui salvare i file con il numero di serie e di creare chiavi del Registro di sistema che fanno riferimento a questa directory.
Note
-
La directory può essere situata in una condivisione di rete o ospitata su un computer locale. Se è impostata una configurazione di un array, si consiglia ospitare la directory in una condivisione di rete in modo che tutti i membri di matrice possono avere "leggere" l'accesso.
-
Indipendentemente da dove si trova la directory, assicurarsi che il servizio OCSP disponga dell'autorizzazione di lettura alla directory. Le impostazioni del Registro di sistema non si applicherà a qualsiasi dei risponditori in linea di Microsoft che non vengono corretti da questo hotfix.
Configurare il servizio OCSP
Eseguire la procedura seguente sul computer di certificazione per cui è stato configurato il servizio OCSP.
Al passaggio 1: Struttura di Directory
-
Avviare Blocco note e quindi incollare il seguente script di esempio in un nuovo documento:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Salvare il nuovo documento come Certs.ps1.
-
Creare una directory in cui sono stati archiviati file vuoti che corrispondono a tutti i numeri seriali emessi.
-
Eseguire lo script Certs.ps1. A tale scopo, eseguire il comando seguente in Windows PowerShell:
< Percorso della directory creata nel passaggio 3 > Certs.ps1
-
Esaminare la directory creata nel passaggio 3 per assicurarsi che i file corrispondono ai numeri seriali emessi.
Nota: Se si dispongono di più CA ospitato nel proprio ambiente, assicurarsi che il numero di serie directory corrispondenti sono diverse. Non condividere la stessa directory tra le diverse CA. -
Eseguire lo script sul computer della CA e caricare il file salvato mediante l'assegnazione di ACL restrittivo. Il file non deve essere modificabile. Assicurarsi che tutti i computer risponditore in linea Microsoft possono accedere a questa posizione.
Ulteriori informazioni su questa procedura.
Risponditore in linea Microsoft restituisce un valore sconosciuto per tutti i certificati emessi ma non ancora nel file creato nel passaggio 6. Questo script deve essere eseguito a intervalli regolari e aggiornato affinché risponditore in linea Microsoft fornire lo stato aggiornato. Questa impostazione di intervallo dipende dall'ambiente di distribuzione specifici. Si consiglia di selezionare un intervallo adatto da quattro ore al valore del CRL successiva data di pubblicazione.
Passaggio 2: Registro di sistema
Avviso L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo può causare problemi gravi. Questi problemi potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.
-
Chiudere tutte le applicazioni di Windows.
-
Fare clic su Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.
-
Individuare e selezionare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Fare clic su autorità di certificazione (CA) per cui è stata creata la struttura di directory.
-
Destro del mouse sul Nodo del Provider, scegliere Nuovoe quindi fare clic su Valore multistringa.
-
Digitare IssuedSerialNumbersDirectoriese quindi premere INVIO.
-
Destro IssuedSerialNumbersDirectoriese quindi fare clic su Modifica.
-
Nella casella dati valore digitare il percorso della directory creata nel passaggio 3 della procedura di struttura di directory e che contiene i numeri di serie emessi e quindi fare clic su OK.
Il percorso della directory, utilizzare il seguente formato:\\<computername>\<directorylocation>Ad esempio, utilizzare un percorso analogo al seguente:
\\contoso-ocspfileserver\SerialNumbers
-
Dal menu File, fare clic su Esci per uscire dall'Editor del Registro di sistema.
-
Installare l'hotfix menzionato in questo articolo.
Dopo aver seguito le "Directory structure" passaggi "Registry", installare l'hotfix menzionato in questo articolo.
Risultati
Dopo aver installato l'aggiornamento rapido, il servizio Risponditore in linea deve eseguire le operazioni seguenti:
-
Restituire un valore valido per i certificati che vengono verificate
-
Restituire un valore per i certificati che sono inclusi nel CRL REVOCATI
-
Restituire un valore sconosciuto per tutti gli altri certificati che non possono essere verificate.
Informazioni sull'hotfix
Un hotfix supportato è disponibile dal supporto Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verifica il problema descritto in questo articolo. Questo hotfix potrebbe essere sottoposto ad ulteriori test. Se il problema non causa gravi difficoltà, si consiglia di attendere il successivo aggiornamento software contenente tale hotfix.
Se l'hotfix è disponibile per il download, è presente una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se questa sezione non viene visualizzata, contattare il servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.
Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.
Prerequisiti
Per applicare questo hotfix, è necessario disporre di Service Pack 1 per Windows 7 o Windows Server 2008 R2.
Richiesta di riavvio
Non è necessario riavviare il computer dopo avere applicato questo hotfix.
Informazioni sulla sostituzione dell'aggiornamento rapido
Questo hotfix non sostituisce eventuali hotfix precedentemente rilasciato.
La versione inglese (Stati Uniti) di questo hotfix consente di installare file con gli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.
Note e informazioni sui file di Windows 7 e Windows Server 2008 R2Importante Aggiornamenti rapidi di Windows 7 e aggiornamenti rapidi di Windows Server 2008 R2 sono inclusi nel pacchetto stesso. Tuttavia, gli aggiornamenti rapidi nella pagina richiesta Hotfix sono elencati in entrambi i sistemi operativi. Per richiedere il pacchetto di hotfix che si applica a uno o entrambi i sistemi operativi, selezionare l'hotfix elencato nella pagina in "Windows 7 e Windows Server 2008 R2". Fare sempre riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo che ogni aggiornamento rapido si applica a.
-
I file relativi a un prodotto specifico, SR_Level (RTM, SPn) e un ramo (LDR, GDR specifici) del servizio possono essere identificati esaminando i numeri di versione del file come indicato nella tabella seguente.
Versione
Prodotto
SR_Level
Ramo del servizio
6.1.760
1. 22xxxWindows 7 e Windows Server 2008 R2
SP1
LDR
-
I rami del servizio GDR contengono solo correzioni rilasciate per risolvere i problemi di diffusione, estremamente importante che. I rami del servizio LDR contengono hotfix in aggiunta alle correzioni rilasciate.
-
I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente nella sezione "Ulteriori informazioni sui file per Windows 7 e Windows Server 2008 R2". MUM e file MANIFEST e i file di catalogo (CAT) di protezione associato, sono estremamente importanti per mantenere lo stato dei componenti aggiornati. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
Per tutte le versioni x86 di Windows 7
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
Requisiti SP |
Ramo del servizio |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nessuno |
Non applicabile |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Per tutte le versioni basate su x64 supportate di Windows 7 e Windows Server 2008 R2
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
Requisiti SP |
Ramo del servizio |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Nessuno |
Non applicabile |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nessuno |
Non applicabile |
Ulteriori informazioni sui file per Windows 7 e Windows Server 2008 R2
File aggiuntivi per tutte le versioni x86 supportate di Windows 7
Proprietà file |
Valore |
---|---|
Nome del file |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
720 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
13:22 |
Piattaforma |
Non applicabile |
Nome del file |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
719 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
13:22 |
Piattaforma |
Non applicabile |
Nome del file |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
63,628 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
07:59 |
Piattaforma |
Non applicabile |
Nome del file |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
11,236 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
08:00 |
Piattaforma |
Non applicabile |
File aggiuntivi per tutte le versioni basate su x64 supportate di Windows 7 e Windows Server 2008 R2
Proprietà file |
Valore |
---|---|
Nome del file |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
723 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
13:22 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
721 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
13:22 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
724 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
13:22 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
63,632 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
08:30 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
11,240 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
08:30 |
Piattaforma |
Non applicabile |
Nome del file |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
63,628 |
Data (UTC) |
30-May-2014 |
Ora (UTC) |
07:59 |
Piattaforma |
Non applicabile |
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Questo hotfix fornisce una modifica di progettazione che rende il risponditore OCSP Microsoft consapevoli di tutti i certificati di cui si verifica quanto segue:
-
Vengono rilasciati da autorità di certificazione.
-
Non vengono revocati.
-
Sono attualmente nel proprio periodo di validità.
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.