現象
次のような状況を考えます。
-
Windows Server 2012 R2 または Windows Server 2008 R2 を実行しているサーバーにインストールされているマイクロソフトのオンライン レスポンダー サービスがあります。
-
オンライン証明書状態プロトコル(OCSP) 検証を管理および構成は、サーバーが使用されます。
このシナリオでは、オンライン レスポンダー サービスは証明書失効リスト (CRL) に含まれていないすべての証明書の確定的な値を返しません。
原因
OCSP は検証されません確認済のソースを使用して、対応する証明書機関によって実際には [証明書が発行されたことが原因です。代わりに、証明書が CRL に含まれていない場合、オンライン レスポンダー サービスと証明書は有効であり、適正品目の値を返しますを仮定します。
解決策
Windows 8.1 または Windows Server 2012 R2 でこの問題を解決するには、更新プログラム 2967917 をインストールします。詳細については、次の文書番号をクリックして、マイクロソフト サポート技術情報の資料をご参照ください。
Windows RT 8.1、Windows 8.1 では、Windows Server 2012 R2 の2967917年 2014年 7 月の更新プログラムのロールアップ
Windows 7 または Windows Server 2008 R2 でこの問題を解決するには、この資料の「ファイル情報」セクションに記載されている修正プログラムをインストールします。
この修正プログラムをインストールする前に、証明機関によって発行されるシリアル番号を読み取るための OCSP サービスを構成する必要があります。これを行うには、シリアル番号のファイルを保存するのには、このディレクトリをポイントするレジストリ キーを作成するディレクトリの場所を作成するには、このセクションで、手順を実行します。
注:
-
ディレクトリをネットワーク共有上にあるか、ローカル コンピューターでホストされていることができます。アレイ構成をセットアップする場合は、できるようにすべてのアレイ メンバーが""へのアクセス権は、ネットワーク共有上のディレクトリをホストすることをお勧めします。
-
場所にかかわらず、ディレクトリ、OCSP サービスがディレクトリへの読み取りアクセス許可を持つことになっていることを確認します。この修正プログラムで修正プログラムを適用はありませんマイクロソフト オンライン レスポンダーには、レジストリの設定は適用されません。
OCSP サービスを構成します。
OCSP サービスが構成されている証明機関のコンピューターで次の手順を実行します。
手順 1: ディレクトリの構造
-
メモ帳を起動し、次のサンプル スクリプトを新しい文書に貼り付けます。
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Certs.ps1として新しい文書を保存します。
-
発行されたすべてのシリアル番号に対応する空のファイルが格納されるディレクトリを作成します。
-
Certs.ps1 スクリプトを実行します。これを行うには、Windows PowerShell で次のコマンドを実行します。
Certs.ps1 < ディレクトリの場所が手順 3 で作成した >
-
ファイルが発行されたシリアル番号に対応しているかどうかを確認するのには 3 の手順で作成したディレクトリを確認します。
注: 複数の Ca が環境内でホストされている場合は、その対応するシリアル番号のディレクトリが異なることを確認します。別の Ca の間で同じディレクトリを共有しません。 -
CA コンピューターで、スクリプトを実行し、Acl の制限を付けることにより、保存したファイルをアップロードします。ファイルは編集しないでください。すべてのマイクロソフトのオンライン レスポンダー コンピューターがこの場所にアクセスできることを確認します。
この手順の詳細については
マイクロソフトのオンライン レスポンダーは、発行されるすべての証明書ですが、まだ手順 6 で作成したファイルに不明な値を返します。このスクリプトは一定の間隔で実行し、最新のステータスを提供するマイクロソフトのオンライン レスポンダーの順序で更新する必要があります。この間隔の設定は、特定の配置環境によって異なります。お勧め次の CRL の値を 4 時間の任意の場所から適切な間隔を選択することの日付を公開します。
手順 2: レジストリ
警告: [レジストリ エディタ] または別の方法を使用してレジストリを誤って修正すると、深刻な問題が発生することがあります。これらの問題は、オペレーティング システムを再インストールする必要があります。マイクロソフトは、これらの問題を解決できることを保証することはできません。自己の責任においてレジストリを変更してください。
-
すべての Windows アプリケーションを終了します。
-
[スタート] ボタンをクリックし、[ファイルを指定して実行] をクリックして、「regedit」と入力してから [ OK] をクリックします。
-
次のレジストリ サブキーを見つけて選択します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
ディレクトリ構造を作成する対象の証明機関 (CA) をクリックします。
-
プロバイダー] ノードを右クリックし、新規作成] をポイントし、[複数行文字列値] をクリックします。
-
IssuedSerialNumbersDirectoriesを入力し、Enter キーを押します。
-
IssuedSerialNumbersDirectoriesを右クリックし、[変更] をクリックします。
-
[値データ] ボックスで、ディレクトリ構造体のプロシージャのステップ 3 で作成して、発行されたシリアル番号が含まれていて、し、[ OK] をクリックするディレクトリへのパスを入力します。
ディレクトリ パスが、次の形式を使用します。\\<computername>\<directorylocation>たとえば、次のようなパスを使用します。
\\contoso-ocspfileserver\SerialNumbers
-
[ファイル] メニューで、[終了] をクリックし、レジストリ エディターを終了します。
-
この資料に記載されている修正プログラム パッケージをインストールします。
「ディレクトリ構造」と「レジストリ」の手順を実行した後は、この資料に記載されている修正プログラム パッケージをインストールします。
結果
修正プログラムをインストールすると、オンライン レスポンダー サービスは以下を実行する必要があります。
-
なが、検証証明書の値を返す
-
CRL に含まれている証明書が無効の値を返す
-
確認できない他のすべての証明書の不明な値を返す
修正プログラムの情報
サポートされている修正プログラムは、マイクロソフトのサポートから使用できます。ただし、この修正プログラムは、ここで説明する問題のみを修正することを目的としたものです。この修正プログラムは、この資料に記載された問題があったシステムのみに対して適用してください。この修正プログラムは、今後さらにテストを行う場合があります。したがって、この問題の影響が深刻でない場合は、この修正プログラムが含まれる次のソフトウェア更新プログラムがリリースされるまで待つことをお勧めします。
修正プログラムをダウンロードできる場合は、このサポート技術情報の資料の上部に「修正プログラムのダウンロード」セクションがあります。このセクションが表示されていない場合は、マイクロソフト カスタマー サービス サポートにお問い合わせのうえ、修正プログラムを入手してください。
注: さらなる問題が発生した場合、またはトラブルシューティングが必要な場合には、別のサービス リクエストの作成が必要な場合があります。この修正プログラムの対象外の追加の質問および問題については、通常のサポート料金が適用されます。マイクロソフト カスタマー サービス サポートの電話番号一覧、または別のサービス リクエストの作成方法については、次のマイクロソフト Web サイトを参照してください。
http://support.microsoft.com/contactus/?ws=support
注:
[修正プログラムのダウンロード] フォームには、修正プログラムが提供されている言語が表示されます。お使いの言語が表示されない場合は、その言語の修正プログラムが利用できないためです。
必要条件
この修正プログラムを適用するには、Windows 7 または Windows Server 2008 R2 がインストールされているService Pack 1が必要です。
再起動の必要性
この修正プログラムの適用後にコンピュータを再起動する必要はありません。
修正プログラムの置き換えに関する情報
この更新プログラムを適用しても、これまでにリリースされた更新プログラムが置き換えられることはありません。
この修正プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。お使いのローカル コンピューター上にあるこれらのファイルの日付および時刻は、現在の夏時間 (DST) との差と一緒にローカル時刻で表示されます。また、ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
Windows 7 および Windows Server 2008 R2 のファイル情報とメモ重要 Windows 7 の修正プログラム、および Windows Server 2008 R2 の修正プログラムは、同じパッケージに収められています。ただし、修正プログラムのリクエスト ページにある修正プログラムは各オペレーティング システムの下に一覧表示されています。一方または両方のオペレーティング システムに適用される修正プログラム パッケージをリクエストするには、ページ上の "Windows 7/Windows Server 2008 R2" の下に一覧表示されている修正プログラムを選択します。各修正プログラムを適用する実際のオペレーティング システムを決定するために、資料にある [適用先] セクションを常に参照してください。
-
特定の製品、SR_Level (RTM、SPn)、および区分 (LDR、GDR) に適用されるファイルは、次表に記載されているファイルのバージョン番号を調べると確認できます。
バージョン
製品
SR_Level
サービス区分
6.1.760
1. 22xxxWindows 7 および Windows Server 2008 R2
SP1
LDR
-
GDR サービス ブランチには、広範囲にわたる非常に重要な問題に対処する、幅広くリリースされている修正プログラムのみが含まれています。LDR 区分には、幅広くリリースされている修正プログラムだけでなく、ホットフィックスも含まれています。
-
マニフェスト ファイル (.manifest) および MUM ファイル (.mum) インストールされている環境ごとに、個別に記載されている「その他ファイルの Windows 7 および Windows Server 2008 R2 の情報」です。MUM ファイル、MANIFEST ファイル、および関連するセキュリティ カタログ (.cat) ファイルは、更新されたコンポーネントの状態を維持するために不可欠です。属性が一覧表示されていないセキュリティ カタログ ファイルは、Microsoft デジタル署名で署名されています。
サポートされているすべての x86 ベース バージョンの Windows 7
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
SP の要件 |
サービス区分 |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
なし |
該当なし |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
すべてサポートされている x64 ベース バージョンの Windows 7 および Windows Server 2008 R2 の
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
SP の要件 |
サービス区分 |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
なし |
該当なし |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
なし |
該当なし |
Windows 7 および Windows Server 2008 R2 用の追加のファイル情報
サポートされているすべての x86 ベース バージョンの Windows 7 用の追加ファイル
ファイルのプロパティ |
値 |
---|---|
ファイル名 |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
720 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
13:22 |
プラットフォーム |
該当なし |
ファイル名 |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
719 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
13:22 |
プラットフォーム |
該当なし |
ファイル名 |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
63,628 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
07:59 |
プラットフォーム |
該当なし |
ファイル名 |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
11,236 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
08:00 |
プラットフォーム |
該当なし |
すべてサポートされている x64 ベース バージョンの Windows 7 および Windows Server 2008 R2 用の追加ファイル
ファイルのプロパティ |
値 |
---|---|
ファイル名 |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
723 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
13:22 |
プラットフォーム |
該当なし |
ファイル名 |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
721 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
13:22 |
プラットフォーム |
該当なし |
ファイル名 |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
724 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
13:22 |
プラットフォーム |
該当なし |
ファイル名 |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
63,632 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
08:30 |
プラットフォーム |
該当なし |
ファイル名 |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
11,240 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
08:30 |
プラットフォーム |
該当なし |
ファイル名 |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
ファイル バージョン |
該当なし |
ファイル サイズ |
63,628 |
日付 (UTC) |
30-May-2014 |
時刻 (UTC) |
07:59 |
プラットフォーム |
該当なし |
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
この修正プログラムには、Microsoft の OCSP レスポンダーは、すべての証明書については、次が真の知らせを仕様変更が用意されています。
-
CA によって発行されます。
-
それらは失効していません。
-
現在有効期間中は。
関連情報
Microsoft がソフトウェア更新プログラムを説明するために使用される用語について説明します。