Problembeschreibung
Versuchen Sie in Windows Server 2008 (SCEP = Simple Certificate Enrollment Protocol) Zertifikate verwalten mithilfe der Network Device Enrollment Service (NDES). Die NDES wird als Teil der Zertifikatdienste in Windows Server 2008 installiert. In diesem Szenario treten die folgenden Probleme:
Problem 1
Kennwörter können zwischen Geräten wiederverwendet werden.
Basierend auf SCEP-Protokoll, ein Gerät muss ein Kennwort zu senden, wenn es zum ersten Mal von einem SCEP-Server ein Zertifikat anfordert. SCEP-Server gibt ein Zertifikat nach dem Kennwort überprüfen.
Der Prozess mit dem SCEP-Server ein Zertifikat ausstellt, nachdem das Kennwort überprüfen lautet wie folgt:
-
Der Administrator einer SCEP-Verwaltungswebsite anmeldet und ein Kennwort angefordert.
-
SCEP-Server generiert ein zufälliges Kennwort, im Cache gespeichert und anschließend das Kennwort für den Administrator angezeigt.
-
Der Administrator konfiguriert das Kennwort auf dem Gerät.
-
Das Gerät sendet dieses Kennwort in der ursprünglichen Anforderung eines Zertifikats.
Hinweis Dieses Kennwort läuft in 60 Minuten. -
Der Server stellt das Zertifikat und das Kennwort aus dem Cache entfernt. Das Kennwort kann nicht von anderen Geräten verwendet werden.
Problem 2
SCEP Zertifikate basierendes automatisch nicht nach ablaufen.
Durch diese beiden Probleme können Administratoren lange Anforderung Kennwörter für alle Geräte und SCEP Zertifikate auf sie angewendet dauert.
Problemlösung
Um diese beiden Probleme zu beheben, installieren Sie Hotfix 959193. Dieser Hotfix enthält zwei Verbesserungen:
Verbesserung 1
Nach Installation dieses Hotfixes können Kennwörter Geräte wiederverwendet werden. Der neue Prozess Kennwörter verwalten lautet wie folgt:
-
SCEP Server bestätigt den Registrierungseintrag "Kennwort"-Modus. In diesem Modus ein Hauptkennwort erstellt und mit Daten in der Registrierung gespeichert. Das master-Kennwort läuft nie ab.
-
Ein Administrator einer SCEP-Verwaltungswebsite Anmeldung und ein Kennwort angefordert. Das master-Kennwort übermittelt.
-
Der Administrator konfiguriert das Kennwort auf dem Gerät. Da das Kennwort für alle Geräte und da es nie abläuft, der Administrator problemlos kann schreiben Sie ein Skript, um das Kennwort auf allen Geräten bereitstellen.
Verbesserung 1 aktivieren
Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows
Um diese Funktion zu aktivieren, erstellen Sie den folgenden Registrierungseintrag:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Hinweis Wenn Sie NDES unter dem Netzwerkdienstkonto ausgeführt, muss, gewähren Sie Vollzugriff auf das Konto "Netzwerkdienst" unter dem folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
Verbesserung 2
Zertifikate können basierendes automatisch nach werden ablaufen. Diese Funktion wird automatisch aktiviert, nachdem das Update installiert ist.
Standardmäßig beim Anfordern der zertifikatserneuerung eines mithilfe dieser Funktion benötigen das Signaturzertifikat gleichen Antragstellernamen und alternativen Antragstellernamen als das angeforderte Zertifikat. Um dies zu umgehen, legen Sie den Wert der DisableRenewalSubjectNameMatch -Registrierungseintrag unter dem folgenden Unterschlüssel 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Hinweis Sie müssen mithilfe dieser Registrierungseintrag Typ REG_DWORD Wenn der Registrierungseintrag nicht vorhanden ist.
Hotfix-Informationen
Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.
Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.
Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern des Microsoft Customer Service and Support, oder um eine separate Serviceanfrage zu erstellen, gehen Sie auf folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=supportHinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.
Wichtig Windows Vista und Windows Server 2008-Hotfixes sind in denselben Paketen enthalten. Allerdings kann nur eines dieser Produkte auf der Seite "Hotfix" aufgeführt. Das Hotfix-Paket anfordern, das für Windows Vista und Windows Server 2008 gilt, wählen Sie einfach das Produkt, das auf der Seite aufgeführt.
Voraussetzungen
Es gibt keine.
Neustartanforderung
Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.
Informationen zu ersetzten Hotfixes
Dieser Hotfix ersetzt keine anderen zuvor veröffentlichten Hotfixes.
Dateiinformationen
Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
Hinweise zu den Dateiinformationen für Windows Server 2008
Manifest-Dateien und MUM-Dateien, die in jeder Umgebung installiert sind einzeln aufgeführten im Abschnitt "Weitere Dateiinformationen für WindowsServer 2008". Diese Dateien und die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind für den Status der aktualisierten Komponente beizubehalten. Die CAT-Dateien sind mit einer digitalen Microsoft-Signatur signiert. Die Attribute dieser Sicherheitsdateien sind nicht aufgelistet.
Für alle unterstützten Versionen von Windows Server 2008-basierten x86
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
Für alle unterstützten Versionen von Windows Server 2008-basierten x64
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
157.184 |
17-Jan-2009 |
06:25 |
x64 |
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.
Weitere Informationen
Weitere Informationen über SCEP Website die folgenden Entwürfe des Internets Website (IETF):
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Beachten Sie, dass dieses Dokument auf 25 Juli 2009 abläuft. Suchen Sie Informationen nach diesem Datum für "SCEP" auf der Homepage der Website.
Microsoft stellt Kontaktinformationen von Drittanbietern zur Verfügung, damit Sie technischen Support erhalten können. Diese Kontaktinformationen können sich ohne vorherige Ankündigung ändern. Microsoft garantiert nicht die Richtigkeit dieser Kontaktinformationen von Drittanbietern.
Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
824684 Erläuterung von der standardmäßigen Standardbegriffen bei Microsoft Softwareupdates
Weitere Dateiinformationen für Windows Server 2008
Für alle unterstützten Versionen von Windows Server 2008-basierten x86
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
PC |
13,172 |
18-Jan-2009 |
01:10 |
PC |
|
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
PC |
1423 |
18-Jan-2009 |
01:10 |
PC |
|
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
PC |
13,647 |
18-Jan-2009 |
01:10 |
PC |
|
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
PC |
1,431 |
18-Jan-2009 |
01:10 |
PC |
|
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
PC |
43,475 |
17-Jan-2009 |
07:10 |
PC |
Für alle unterstützten Versionen von Windows Server 2008-basierten x64
|
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
PC |
43,505 |
17-Jan-2009 |
09:42 |
PC |
|
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
PC |
13,284 |
18-Jan-2009 |
01:10 |
PC |
|
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
PC |
1,431 |
18-Jan-2009 |
01:10 |
PC |
|
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
PC |
13.763 |
18-Jan-2009 |
01:10 |
PC |
|
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
PC |
1.439 |
18-Jan-2009 |
01:10 |
PC |
