Sintomi
In Windows Server 2008, si sta tentando di gestire i certificati di protocollo SCEP (Simple Certificate Enrollment Protocol) utilizzando il servizio Registrazione dispositivi di rete (rappresenta). Il rappresenta viene installato come parte di servizi certificati in Windows Server 2008. In questo caso si verifichino i seguenti problemi:
Problema 1
Password non possono essere riutilizzate tra periferiche.
Un dispositivo basato sul protocollo SCEP, è necessario inviare una password quando richiede un certificato da un server SCEP per la prima volta. Il server SCEP rilascia un certificato dopo la convalida della password.
Il processo in base al quale il server SCEP emette un certificato dopo la convalida della password è la seguente:
-
L'amministratore accede a un sito Web di amministrazione SCEP e richiede una password.
-
Il server SCEP genera una password casuale, viene memorizzato nella cache e quindi Visualizza la password dell'amministratore.
-
L'amministratore configura la password sul dispositivo.
-
Il dispositivo invia la password nella propria richiesta iniziale di un certificato.
Nota: La password scade in 60 minuti. -
Il server emette il certificato e quindi la password viene rimosso dalla cache. La password non potrà più essere utilizzata da altre periferiche.
Problema 2
SCEP certificati non possono essere registrati nuovamente affinché automaticamente dopo la scadenza.
Per questi due problemi, potrebbero occorrere amministratori molto tempo per richiesta password per tutti i dispositivi e di applicare certificati SCEP.
Risoluzione
Per risolvere questi due problemi, installare l'hotfix 959193. Questo hotfix sono stati introdotti i seguenti due miglioramenti:
Miglioramento 1
Dopo avere applicato questo hotfix, è possono riutilizzare le password tra periferiche. Il nuovo processo per gestire le password è la seguente:
-
Il server SCEP viene confermata l'impostazione del Registro di sistema per la modalità "Sola Password". In questa modalità, una password master viene creata e memorizzata nel Registro di sistema utilizzando i dati crittografati. Nessuna scadenza password master.
-
Un amministratore accede a un sito Web di amministrazione SCEP e richiede una password. La password master viene recapitata.
-
L'amministratore configura la password sul dispositivo. Poiché la password è la stessa per tutti i dispositivi e la scadenza, l'amministratore può facilmente scrivere uno script per distribuire la password su tutti i dispositivi.
Come attivare il miglioramento 1
Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windows
Per abilitare questa funzionalità, creare la seguente voce del Registro di sistema:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Nota: Se si esegue rappresenta l'account servizio di rete, è necessario concedere l'autorizzazione controllo completo all'account "Servizio di rete" nella seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
Miglioramento 2
I certificati possono essere registrati nuovamente affinché automaticamente dopo la scadenza. Questa funzionalità viene attivata automaticamente dopo aver installato l'aggiornamento rapido.
Per impostazione predefinita, quando si richiede un rinnovo di certificato utilizzando questa funzionalità, il certificato del firmatario deve avere il nome del soggetto stesso e nome soggetto alternativo il certificato richiesto. Per ovviare a questo requisito, impostare il valore della voce nella seguente sottochiave del Registro di sistema DisableRenewalSubjectNameMatch su 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Nota: Potrebbe essere necessario creare questa voce del Registro di sistema utilizzando il tipo REG_DWORD, se la voce del Registro di sistema non esiste.
Informazioni sull'hotfix
Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verifica il problema descritto in questo articolo. Questo hotfix potrebbe essere sottoposto ad ulteriori test. Se il problema non causa gravi difficoltà, si consiglia di attendere il successivo aggiornamento software contenente tale hotfix.
Se l'hotfix è disponibile per il download, è presente una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se questa sezione non viene visualizzata, contattare il servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.
Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.
Importanti aggiornamenti rapidi di Windows Vista e Windows Server 2008 sono inclusi nel pacchetto stesso. Tuttavia, solo uno di questi prodotti può essere elencato nella pagina "Richiesta di aggiornamento rapido". Per richiedere il pacchetto di hotfix che si applica a Windows Vista e Windows Server 2008, è sufficiente selezionare il prodotto elencato nella pagina.
Prerequisiti
Non esistono prerequisiti.
Richiesta di riavvio
È necessario riavviare il computer dopo avere applicato questo hotfix.
Informazioni sulla sostituzione dell'aggiornamento rapido
Questo hotfix non sostituisce eventuali altri hotfix rilasciati in precedenza.
Informazioni sui file
La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate in base al formato UTC (Coordinated Universal Time Coordinated). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di Data e ora nel Pannello di controllo.
Note di informazioni file di Windows Server 2008
I file manifest e i file mum installati per ogni ambiente sono elencati separatamente nella sezione "ulteriori informazioni sui file per Windows Server 2008". Questi file e i relativi file cat associato (catalogo protezione) sono fondamentali per mantenere lo stato del componente aggiornato. I file di catalogo sono firmati mediante firma digitale Microsoft. Non sono elencati gli attributi di questi file di protezione.
Per tutte le versioni basate su x86 supportate di Windows Server 2008
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
Per tutte le versioni basate su x64 supportate di Windows Server 2008
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Per ulteriori informazioni su SCEP, visitare il seguente sito Web di Web bozze Internet del sito (IETF):
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Nota che questo documento scadrà il 25 luglio 2009. Per informazioni dopo tale data, cercare "SCEP" nella home page del sito Web.
Microsoft fornisce informazioni di contatto di terze parti per facilitare l'individuazione del supporto tecnico. Tali informazioni potrebbero cambiare senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni per contattare altri produttori.
Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
824684 descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft
Ulteriori informazioni sui file per Windows Server 2008
Per tutte le versioni basate su x86 supportate di Windows Server 2008
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Non applicabile |
13,172 |
18-Jan-2009 |
01:10 |
Non applicabile |
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Non applicabile |
1,423 |
18-Jan-2009 |
01:10 |
Non applicabile |
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Non applicabile |
13,647 |
18-Jan-2009 |
01:10 |
Non applicabile |
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Non applicabile |
1,431 |
18-Jan-2009 |
01:10 |
Non applicabile |
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
Non applicabile |
43,475 |
17-Jan-2009 |
07:10 |
Non applicabile |
Per tutte le versioni basate su x64 supportate di Windows Server 2008
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
Non applicabile |
43,505 |
17-Jan-2009 |
09:42 |
Non applicabile |
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Non applicabile |
13,284 |
18-Jan-2009 |
01:10 |
Non applicabile |
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Non applicabile |
1,431 |
18-Jan-2009 |
01:10 |
Non applicabile |
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Non applicabile |
13,763 |
18-Jan-2009 |
01:10 |
Non applicabile |
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Non applicabile |
1,439 |
18-Jan-2009 |
01:10 |
Non applicabile |