두 가지 개선 사항을 사용할 수 있는 Windows Server 2008의 네트워크 장치 등록 서비스를 사용 하 여 SCEP 인증서를 관리 하는 데 걸리는 시간을 단축 하는

적용 대상: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

증상


Windows Server 2008의 네트워크 장치 등록 서비스 (NDES)를 사용 하 여 단순 인증서 등록 프로토콜 (SCEP)의 인증서를 관리 하려고 하. NDES는 Windows Server 2008에서 인증서 서비스의 일부로 설치 됩니다. 이 시나리오에서는 다음과 같은 문제가 발생할 수 있습니다.

문제 1

장치 간에 암호를 재사용할 수 없습니다.

SCEP 프로토콜을 기반 장치는 처음 SCEP 서버에서 인증서를 요청할 때 암호를 전송 하려면 필요 합니다. SCEP 서버는 암호를 확인 한 후 인증서를 발급 합니다.

기준이 SCEP 서버 암호를 확인 한 후 인증서를 발급 하는 프로세스는 다음과 같습니다.
  1. 관리자가 SCEP 관리 웹 사이트에 로그온 하 고 암호를 입력 합니다.
  2. SCEP 서버 임의의 암호를 생성 하 고 캐시에 저장 후 관리자에 게 암호를 표시 합니다.
  3. 관리자는 장치에서 암호를 구성합니다.
  4. 장치는 인증서에 대 한 초기 요청에서이 암호를 보냅니다.

    참고: 이 암호는 60 분 후에 만료 됩니다.
  5. 서버는 인증서를 발급 한 다음 암호를 캐시에서 제거 합니다. 암호는 더 이상 다른 모든 장치에서 사용할 수 없습니다.
문제 2

SCEP 인증서 안 받으려면 다시 등록 자동으로 만료 되기 후.

이 두 가지 문제 때문에 걸릴 수 있습니다 관리자 오래 모든 장치에 대해 및 SCEP 인증서를 적용 하 여 암호를 요청 합니다.

해결 방법


이 두 가지 문제를 해결 하려면 핫픽스를 959193 설치 합니다. 이 핫픽스에 다음과 같은 두 가지 향상 된 기능:

1 개선

이 핫픽스를 적용 한 후 장치 간에 암호를 재사용할 수 있습니다. 암호를 관리 하는 새 프로세스는 다음과 같습니다.
  1. SCEP 서버 "단일 암호" 모드에 대 한 레지스트리 설정을 확인합니다. 이 모드에서는 마스터 암호 만들어지고 암호화 된 데이터를 사용 하 여 레지스트리에 저장 됩니다. 마스터 암호가 만료 되지 않습니다.
  2. 관리자가 SCEP 관리 웹 사이트에 로그온 하 고 암호를 입력 합니다. 마스터 암호가 배달 됩니다.
  3. 관리자는 장치에서 암호를 구성합니다. 고 있기 때문에 모든 장치에 대해 동일한 암호가 만료 되지 않습니다, 관리자는 모든 장치에서 암호 배포 스크립트를 쉽게 작성할 수 있습니다.
개선 1 사용 방법

중요: 이 섹션, 방법 또는 작업은 레지스트리를 수정하는 방법을 설명하는 단계를 포함합니다. 그러나, 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의 깊게 수행해야 합니다. 추가 보호 조치로, 해당 레지스트리를 수정하기 전에 미리 백업하세요. 그런 다음, 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은, Microsoft 기술 자료의 다음 문서 번호를 클릭합니다.
322756 백업 및 Windows에서 레지스트리를 복원 하는 방법

이 기능을 사용 하려면 다음 레지스트리 항목을 만듭니다.
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

참고: NDES 네트워크 서비스 계정으로 실행 하는 경우 다음 레지스트리 하위 키 아래에서 "네트워크 서비스" 계정에 모든 권한을 부여 해야 합니다: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

2 개선

인증서 수 받으려면 다시 등록 자동으로 만료 되기 후입니다. 핫픽스가 설치 된 후이 기능은 자동으로 사용 됩니다.

기본적으로이 기능을 사용 하 여 인증서 갱신을 요청할 때 서명자 인증서 있어야 동일한 주체 이름 및 대체 주체 이름 요청한 인증서로 합니다. 이 요구 하지 않고, 다음 하위 키에서 DisableRenewalSubjectNameMatch 레지스트리 항목의 값이 1로 설정 합니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

참고: 레지스트리 항목이 존재 하지 않으면 REG_DWORD 형식 사용 하 여이 레지스트리 항목을 만들 수도 있습니다.

핫픽스 정보

지원되는 핫픽스를 Microsoft에서 구할 수 있습니다. 그러나 이 핫픽스는 오직 이 문서에서 설명하는 문제를 해결하는 작업에만 사용됩니다. 이 문서에서 설명한 문제가 발생하는 시스템에만 이 핫픽스를 적용하십시오. 이 핫픽스는 추가 테스트가 필요할 수도 있습니다. 따라서, 이 문제로 심각하게 영향을 받지 않는 경우 이 핫픽스가 포함된 다음 소프트웨어 업데이트가 나올 때까지 기다리는 것이 좋습니다.

핫픽스를 다운로드할 수 있는 경우, 이 기술 자료 문서의 상단에 "핫픽스 다운로드 가능" 섹션이 있습니다. 이 섹션이 나타나지 않으면, Microsoft 고객 지원에 문의하여 핫픽스를 얻으십시오.

참고: 추가 문제가 발생하거나 문제 해결이 필요한 경우, 별도로 서비스를 요청해야 할 수도 있습니다. 추가 지원 질문과 이 특정 핫픽스가 필요하지 않은 문제에는 일반 지원 비용이 적용됩니다. Microsoft 고객 지원 전화 번호의 전체 목록을 확인하거나 별도 서비스 요청을 만들려면 다음 Microsoft 웹 사이트를 방문하십시오.참고: "핫픽스 다운로드 사용 가능" 형식은 핫픽스 사용이 가능한 언어를 표시합니다. 사용자 언어가 표시되지 않는 것은 핫픽스를 해당 언어로 사용할 수 없기 때문입니다.

중요 한 Windows Vista 및 Windows Server 2008 핫픽스는 같은 패키지에 포함 됩니다. 그러나 이러한 제품 중 하나만 "핫픽스 요청" 페이지에 나타날 수 있습니다. Windows Vista와 Windows Server 2008에 적용 되는 핫픽스 패키지를 요청 하려면 단순히 페이지에 나열 된 제품을 선택 합니다.

전제 조건

전제 조건은 없습니다.

다시 시작 요구 사항

이 핫픽스를 적용한 후 컴퓨터를 다시 시작해야 합니다.

핫픽스 대체 정보

이 핫픽스는 이전에 출시된 다른 핫픽스를 대체하지 않습니다.

파일 정보

이 핫픽스의 영어 버전은 다음 표에 열거된 파일 특성 (또는 그 이후의 파일 특성)을 가지고 있습니다. 이러한 파일의 시간과 날짜는 협정 세계시(UTC)로 나열되었습니다. 파일 정보를 볼 때는 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 시차는 제어판의 날짜 및 시간 항목에서 표준 시간대 탭을 사용하여 찾을 수 있습니다.
Windows Server 2008 파일 정보 참고
.Manifest 파일 및 각 환경에 설치 된.mum 파일은 개별적으로 나열 "Windows Server 2008에 대 한 추가 파일 정보" 절에 있습니다. 이러한 파일과 관련된.cat (보안 카탈로그) 파일은 업데이트 된 구성 요소의 상태를 유지 하는 데 중요 합니다. .Cat 파일은 Microsoft 디지털 서명으로 서명 됩니다. 이러한 보안 파일의 특성은 나열 되지 않습니다.

지원 되는 모든 x86 기반 버전의 Windows Server 2008
파일 이름파일 버전파일 크기날짜시간플랫폼
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
지원 대상인 모든 Windows Server 2008의 x64 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

상태


Microsoft는 이 문제가 '적용 대상' 섹션에 나열된 Microsoft 제품의 문제임을 확인했습니다.

자세한 내용


SCEP에 대 한 자세한 내용은 다음 인터넷 임시 보관 함 웹 사이트 (IETF) 웹 사이트를 방문 하십시오.

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Note이 문서는 2009 년 7 월 25 일에 만료 됩니다. 이 날짜 이후에 내용은 웹 사이트의 홈 페이지에서 "SCEP"에 대해 검색 합니다.

Microsoft는 기술 지원을 받는 데 도움을 받을 수 있도록 다른 공급 업체의 연락처 정보를 제공합니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이 타사 연락처 정보의 정확성을 보증하지 않습니다.


자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 다음 문서를 확인하십시오.

Microsoft 소프트웨어 업데이트를 설명 하는 데 사용 되는 표준 용어에 대 한 824684 설명


Windows Server 2008에 대 한 추가 파일 정보

지원 되는 모든 x86 기반 버전의 Windows Server 2008
파일 이름파일 버전파일 크기날짜시간플랫폼
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum적용할 수 없음13,17218-Jan-200901:10적용할 수 없음
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum적용할 수 없음1,42318-Jan-200901:10적용할 수 없음
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum적용할 수 없음13,64718-Jan-200901:10적용할 수 없음
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum적용할 수 없음1,43118-Jan-200901:10적용할 수 없음
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest적용할 수 없음43,47517-Jan-200907:10적용할 수 없음
지원 대상인 모든 Windows Server 2008의 x64 기반 버전
파일 이름파일 버전파일 크기날짜시간플랫폼
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest적용할 수 없음43,50517-Jan-200909:42적용할 수 없음
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum적용할 수 없음13,28418-Jan-200901:10적용할 수 없음
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum적용할 수 없음1,43118-Jan-200901:10적용할 수 없음
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum적용할 수 없음13,76318-Jan-200901:10적용할 수 없음
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum적용할 수 없음1,43918-Jan-200901:10적용할 수 없음