Příznaky
V systému Windows Server 2008 se pokoušíte spravovat certifikáty jednoduchého protokolu SCEP (Certificate Enrollment) pomocí síťové zařízení pro zápis služby (NDES). NDES je nainstalován jako součást Certifikační služby v systému Windows Server 2008. V tomto scénáři se vyskytnout následující problémy:
Problém 1
Hesla nelze znovu použít mezi zařízeními.
Založené na protokolu SCEP, zařízení je nutné odeslat heslo, pokud žádající o certifikát ze serveru SCEP poprvé. SCEP server vydá certifikát po ověření hesla.
Proces, kterým SCEP server vydá certifikát po ověření hesla je následující:
-
Správce se přihlásí k SCEP správy webu a požádá o zadání hesla.
-
SCEP server vygeneruje náhodné heslo, ukládá do mezipaměti a potom zobrazí heslo správce.
-
Správce konfiguruje heslo na zařízení.
-
Zařízení odešle toto heslo v jeho původní žádosti o certifikát.
Poznámka: Toto heslo vyprší za 60 minut. -
Server vydá certifikát a potom odebere heslo z mezipaměti. Heslo lze použít již jiným zařízením.
Problém 2
Certifikáty SCEP nemůže být provedena obnova zápisu automaticky po vypršení jejich platnosti.
Z důvodu tyto dva problémy může trvat správci dlouho požadavek hesla pro všechna zařízení a jejich certifikáty SCEP vyrovnat.
Řešení
Tyto dva problémy vyřešit, nainstalujte opravu hotfix 959193. Tato oprava hotfix zavádí dvě následující vylepšení:
Zlepšení 1
Po instalaci této opravy hotfix, můžete být znovu hesla mezi zařízeními. Nový proces ke správě hesel je následující:
-
SCEP server potvrdí nastavení registru pro "Jediné heslo" režimu. V tomto režimu je hlavní heslo vytvořené a uložené v registru pomocí zašifrovaných dat. Hlavní heslo je platné stále.
-
Správce přihlášení k webovému serveru SCEP správy a požádá o zadání hesla. Hlavní heslo je doručena.
-
Správce konfiguruje heslo na zařízení. Protože heslo je stejné pro všechna zařízení a vzhledem k tomu, že platné stále, Správce může snadno vytvořit skript zavedení hesla na všech zařízeních.
Jak povolit zlepšení 1
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows
Chcete-li tuto funkci povolit, vytvořte následující položku registru:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Poznámka: Pokud používáte NDES pod účtem síťové služby, je nutné udělit oprávnění Úplné řízení na účet "Network Service" v následujícím podklíči registru: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
2 zlepšení
Certifikáty mohou být provedena obnova zápisu automaticky po vypršení jejich platnosti. Tato funkce je povolena automaticky po nainstalování opravy hotfix.
Ve výchozím nastavení, při žádosti o obnovení certifikátu pomocí této funkce podepisující certifikát musí mít stejný název předmětu a alternativní název subjektu jako požadovaný certifikát. Chcete-li obejít tento požadavek, nastavte hodnotu položky registru DisableRenewalSubjectNameMatch v následujícím podklíči na 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Poznámka: Bude pravděpodobně nutné vytvořit tuto položku registru pomocí typu REG_DWORD, pokud položka registru neexistuje.
Informace o opravě hotfix
Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Tuto opravu hotfix instalujte pouze do systémů, ve kterých dochází k potížím popsaným v tomto článku. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.
Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.
Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:
http://support.microsoft.com/contactus/?ws=supportPoznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.
Důležité opravy hotfix systému Windows Vista a Windows Server 2008 jsou součástí stejné balíčků. Pouze jeden z těchto produktů však může být uvedena na stránce "Hotfix požadavek". Chcete-li požádat o balíčku oprav hotfix vztahující se k systému Windows Vista a Windows Server 2008, stačí pouze vyberte produkt, který je uveden na stránce.
Předpoklady
Neexistují žádné požadavky.
Požadavek na restartování
Máte k restartování počítače po instalaci této opravy hotfix.
Informace o nahrazení opravy hotfix
Tato oprava hotfix nenahrazuje žádné dříve vydané opravy hotfix.
Informace o souborech
Anglická verze této opravy hotfix má atributy (nebo pozdější atributy souborů) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo v položce Datum a čas v okně Ovládací panely.
Poznámky k informacím o souborech systému Windows Server 2008
Soubory manifest a MUM soubory, které jsou nainstalovány v každém prostředí jsou uvedeny samostatně v části "Další informace o souborech pro systém Windows Server 2008". Tyto soubory a jejich soubory přidružené CAT (katalog zabezpečení) jsou důležité k uchování stavu aktualizované součásti. Soubory CAT jsou podepsané digitálním podpisem společnosti Microsoft. Atributy těchto souborů zabezpečení zde nejsou uvedeny.
Pro všechny podporované verze systému Windows Server 2008 x86
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
Pro všechny podporované verze systému Windows Server 2008 x64
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
Stav
Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".
Další informace
Další informace o SCEP naleznete na následujícím webu (IETF) serveru WWW Internet Drafts:
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Poznámka: v tomto dokumentu vyprší dne 25 červenec 2009. Informace po tomto datu hledat "SCEP" na domovské stránce webu.
Společnost Microsoft poskytuje kontaktní informace jiného výrobce, a tím vám usnadňuje získání technické podpory. Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft
Další informace o souborech pro systém Windows Server 2008
Pro všechny podporované verze systému Windows Server 2008 x86
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
---|---|---|---|---|---|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Není k dispozici |
13,172 |
18-Jan-2009 |
01:10 |
Není k dispozici |
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Není k dispozici |
1,423 |
18-Jan-2009 |
01:10 |
Není k dispozici |
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Není k dispozici |
13,647 |
18-Jan-2009 |
01:10 |
Není k dispozici |
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Není k dispozici |
1,431 |
18-Jan-2009 |
01:10 |
Není k dispozici |
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
Není k dispozici |
43,475 |
17-Jan-2009 |
07:10 |
Není k dispozici |
Pro všechny podporované verze systému Windows Server 2008 x64
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
---|---|---|---|---|---|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
Není k dispozici |
43,505 |
17-Jan-2009 |
09:42 |
Není k dispozici |
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Není k dispozici |
13,284 |
18-Jan-2009 |
01:10 |
Není k dispozici |
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Není k dispozici |
1,431 |
18-Jan-2009 |
01:10 |
Není k dispozici |
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Není k dispozici |
13,763 |
18-Jan-2009 |
01:10 |
Není k dispozici |
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Není k dispozici |
1,439 |
18-Jan-2009 |
01:10 |
Není k dispozici |