2 つの機能強化は、使用可能な Windows Server 2008 でネットワーク デバイス登録サービスを使用して、SCEP の証明書を管理するために必要な時間を短縮します。

現象

Windows Server 2008 で、しようとするネットワーク デバイス登録サービス (NDES) を使用して単純な証明書登録プロトコル (SCEP) 証明書を管理します。NDES は、Windows Server 2008 の証明書サービスの一部としてインストールされます。このシナリオでは、次の問題が発生します。

問題 1

デバイス間でパスワードを再利用することはできません。

SCEP プロトコルに基づいて、デバイスを最初に、SCEP サーバーから証明書を要求するときにパスワードを送信する必要があります。SCEP サーバーは、パスワードを検証した後、証明書を発行します。

SCEP サーバーがパスワードを検証した後に証明書を発行する手順は次のとおりです。
  1. 管理者は、SCEP 管理 Web サイトにログオンし、パスワードを要求します。
  2. SCEP サーバーはランダムなパスワードが生成されます、キャッシュに格納、および管理者にパスワードが表示されます。
  3. 管理者は、デバイスのパスワードを設定します。
  4. デバイスは、証明書の最初の要求で、このパスワードを送信します。

    注: このパスワードの有効期限は 60 分です。
  5. サーバーは、証明書を発行し、キャッシュからパスワードを削除します。パスワードは、その他のデバイスが不要になった使用できます。
問題 2

SCEP の証明書は有効期限後に自動的には、取得にすることはできません。

これら 2 つの問題が発生したため、可能性があります時間がかかる管理者のすべてのデバイスと SCEP の証明書を適用するのにはパスワードを要求します。

解決策

これら 2 つの問題を解決するには、修正プログラム 959193 をインストールします。この修正プログラムには、次の 2 つの機能強化が導入されています。

改善 1

この修正プログラムを適用した後に、デバイス間でパスワードが再利用できます。パスワードを管理する新しいプロセスは次のとおりです。
  1. SCEP サーバーは、「1 つのパスワード」モードのレジストリ設定をを確認します。このモードでは、マスター パスワードが作成され、暗号化されたデータを使用してレジストリに格納されています。マスター ・ パスワードを無期限にします。
  2. 管理者は、SCEP 管理 Web サイトにログオンし、パスワードを要求します。マスター パスワードが配信されます。
  3. 管理者は、デバイスのパスワードを設定します。パスワードがすべてのデバイスに対して同じであるため、無期限のため、管理者はすべてのデバイスのパスワードを展開するためのスクリプトを簡単に記述できます。
改善 1 を有効にする方法

重要 このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。そのため、レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。そうすることで、問題が発生した場合にレジストリを復元することができます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756の方法をバックアップし、Windows のレジストリを復元するには

この機能を有効にするには、次のレジストリ エントリを作成します。
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

注: NDES をネットワーク サービス アカウントで実行する場合は、次のレジストリ サブキーの下の [ネットワーク サービス] アカウントにフル コントロール アクセス許可を与える必要があります: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP

改善 2

証明書が登録して取得するに自動的に期間切れになった。修正プログラムをインストールした後、自動的にこの機能が有効になります。

既定では、この機能を使用して証明書の書き換えを要求する署名者の証明書が必要同じサブジェクト名、代替サブジェクト名として要求した証明書です。この要件を回避するには、次のサブキーの下のDisableRenewalSubjectNameMatchレジストリ エントリの値を 1 に設定します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

注: レジストリ エントリが存在しない場合は、REG_DWORD 型を使用してこのレジストリ エントリを作成する必要があります。

修正プログラムの情報

サポートされている修正プログラムは、マイクロソフトから入手可能です。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この修正プログラムは、この資料に記載された問題があったシステムのみに対して適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。

修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。

注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス サポートの電話番号一覧または別のサービス リクエストの作成については、次のマイクロソフト Web サイトを参照してください。注: [修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。

同じパッケージには、重要な Windows Vista と Windows Server 2008 の修正プログラムが含まれます。ただし、"修正プログラムの要求] ページでこれらの製品の 1 つだけが表示されます。Windows Vista と Windows Server 2008 の両方に適用される修正プログラム パッケージを要求するには、ページに記載されている製品を選択します。

必要条件

必要条件はありません。

再起動の必要性

この修正プログラムを適用した後コンピューターを再起動する必要があります。

修正プログラムの置き換えに関する情報

この修正プログラムを適用しても、他の修正プログラムが置き換えられることはありません。

ファイル情報

修正プログラム (英語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。
Windows Server 2008 ファイル情報のメモ
マニフェスト ファイルと各環境にインストールされている .mum ファイルとは別にリストされている「Windows Server 2008 のその他ファイル情報」セクションでは。これらのファイルとそれらに関連付けられている .cat (セキュリティ カタログ) ファイルは、更新されたコンポーネントの状態を維持するために重要です。.Cat ファイルは、マイクロソフトのデジタル署名で署名されます。これらのセキュリティ ファイルの属性は表示されません。

すべてサポートされている x86 ベースのバージョンの Windows Server 2008 の
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォーム
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
すべての x64 ベース バージョンの Windows Server 2008 をサポート
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォーム
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

状況

マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。

詳細

SCEP の詳細については、次のインターネット ドラフトの Web サイト (IETF) の Web サイトを参照してください。

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

このドキュメントは 2009 年 7 月 25 日に期限切れに注意してください。この日以降後については、Web サイトのホーム ページに「SCEP」を検索します。

他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、この連絡先情報は予告なしに変更される場合があります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。


詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。

824684マイクロソフトのソフトウェア更新プログラムを記述するために使用される一般的な用語説明


Windows Server 2008 の他のファイル情報

すべてサポートされている x86 ベースのバージョンの Windows Server 2008 の
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォーム
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum該当なし13,17218-Jan-200901:10該当なし
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum該当なし1,42318-Jan-200901:10該当なし
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum該当なし13,64718-Jan-200901:10該当なし
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum該当なし1,43118-Jan-200901:10該当なし
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest該当なし43,47517-Jan-200907:10該当なし
すべての x64 ベース バージョンの Windows Server 2008 をサポート
ファイル名ファイル バージョンファイル サイズ日付時刻プラットフォーム
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest該当なし43,50517-Jan-200909:42該当なし
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum該当なし13,28418-Jan-200901:10該当なし
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum該当なし1,43118-Jan-200901:10該当なし
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum該当なし13,76318-Jan-200901:10該当なし
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum該当なし1,43918-Jan-200901:10該当なし
プロパティ

文書番号:959193 - 最終更新日: 2017/02/05 - リビジョン: 1

Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard

フィードバック