CryptoAPI 証明書チェーンの検証ロジックで Windows 2000 Service Pack 2 またはそれ以降のバージョンの Q835732 への変更の概要

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:887195
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
ここでは、CryptoAPI 証明書チェーンの検証ロジック Microsoft Windows 2000 Service Pack 2 (SP2) またはそれ以降のバージョンの次のセキュリティ更新プログラムには、行った変更の概要について説明します。
835732Microsoft Windows のセキュリティ更新プログラム MS04-011: セキュリティ更新プログラム
この資料に情報は、次の修正プログラムにも適用されます。
329433チェーン内の証明機関がある 2 つの証明書失効した証明書が選択されます。
ただし、Q329433、修正プログラムが Q835732 によって置き換えされました。
詳細
CryptoAPI は、Wininet.dll ライブラリではなくネットワーク取得するため、Winhttp.dll ライブラリを使用します。 このため、次の条件が発生する可能性があります。
  • HTTPS URL は、再帰失効ループ HTTPS URL を使用して生成があるためにの配布ポイントの参照としてサポートされていません。
  • FTP の URL はサポートされていません。
  • JavaScript ベースのスクリプトを使用して、自動プロキシ構成のみをサポートする Microsoft 暗号化 API (CAPI) します。 たとえば、.js、.pac、.jvs、および.dat スクリプトです。

    手動プロキシ構成の追加についてはをクリックして以下「サポート技術情報」(Microsoft Knowledge Base) 資料を参照。
    841641MS04-011 のインストール後、WinInet プロキシの設定が原因で、IIS により "403.13 クライアント証明書が無効です" というエラー メッセージが表示される
  • CryptoAPI は、Internet Explorer (Wininet.dll) キャッシュをなった使用します。 代わりに、別のディスク キャッシュ、C:\Documents と Settings\ の UserName </a0>] \Application Data\Microsoft\CryptnetUrlCache フォルダー内に維持します。
  • 失敗をいくつかのアプリケーションで Windows 統合認証を使用しないプロキシ サーバーへの認証することがあります。 この現象は、Winhttp.dll ライブラリ非対話型サービスで使用するためですをユーザー ネットワーク資格情報を入力しないために発生します。
ネットワークの既定のタイムアウト値が変更されました。 この変更をターゲット URL がアクセスできない場合に CAPI 証明書失効リスト (CRL) の取得中に長い時間ブロックの問題に対処しました最初。 既定では、新しいタイムアウトは 15 秒ごとの取得および各チェーンの検証を 20 秒です。

機関情報アクセス (AIA) の拡張子を持つ証明書を処理するとき CryptoAPI は、最大 5 つの URL の各証明書または証明書チェーンの各 10 の URL をのみ処理されます。 CryptoAPI は、各証明書チェーンの 100, 000 バイトに取得されるデータの量も制限されます。 これらの制限は、潜在的なサービス拒否 (DoS) 攻撃で AIA 参照の使用を削減が目的されます。

クロス証明書の発見と含めるが、クロス証明書の配布ポイント拡張子 (xDP) を通じてサポートされます。 使用されている、次の機能もサポートされています。
  • Delta CRL は完全にサポートします。
  • CRL に重要な"発行者"配布ポイント (IDP) 拡張機能はサポートされていません。

    メモ onlyContainsUserCerts onlyContainsCACerts の両方のビット、IDP に設定されている CRL は拒否されます。
  • 証明書の名前およびポリシーの制約がサポートされます。
  • CRL の拡張機能での深刻度フラグが優先します。
  • ベース 64 エンコードの CRL が正しく処理されます。
  • X.500 形式の CRL の名前を識別および AIA の参照はサポートします。
  • 証明を CryptoAPI が失効した書を選択、作業中の証明書ではなく、発行元証明機関 (CA) が 2 つの証明書の問題が解決します。
詳細については、クリック、次資料、記事の「サポート技術情報」(Microsoft Knowledge Base) を表示: して
841632セキュリティ更新プログラム MS04-011 をインストール後、"403.13 クライアント証明書が無効です" というエラー メッセージが表示される
841641MS04-011 のインストール後、WinInet プロキシの設定が原因で、IIS により "403.13 クライアント証明書が無効です" というエラー メッセージが表示される
841642IIS 5.0 を実行するコンピュータにセキュリティ更新プログラム MS04-011 をインストール後、クライアント証明書でエラーが発生する
835732Microsoft Windows のセキュリティ更新プログラム MS04-011: セキュリティ更新プログラム
329433チェーン内の証明機関がある 2 つの証明書失効した証明書が選択されます。

警告: この記事は自動翻訳されています

プロパティ

文書番号:887195 - 最終更新日: 02/04/2014 21:48:14 - リビジョン: 1.1

Microsoft Windows 2000 Professional, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbhowto kbinfo kbmt KB887195 KbMtja
フィードバック