온라인 응답자 서비스에서 CRL에 포함 되지 않은 모든 인증서에 대 한 명확한 좋은 돌아오지 않으면

증상

다음 시나리오를 고려하십시오.

Microsoft 온라인 응답자 서비스가 Windows Server 2012 R2 또는 Windows Server 2008 r 2를 실행 하는 서버에 설치 해야 합니다.
서버 구성 하 고 관리 온라인 인증서 상태 프로토콜 (OCSP) 유효성 검사에 사용 됩니다.

이 시나리오에서는 온라인 응답자 서비스는 명확한 값이 인증서 해지 목록 (CRL)에 포함 되지 않은 모든 인증서에 대 한 좋은 반환 하지 않습니다.

원인

OCSP는 확인 하지 않습니다 확인 된 소스는 해당 인증 기관에서 인증서 발급 실제로 때문에이 문제가 발생 합니다. 대신 인증서는 CRL에 포함 되지 않습니다, 온라인 응답자 서비스로 인증서 유효 하 고 반환 된 값을 가정 합니다.

해결 방법

8.1 Windows 또는 Windows Server 2012 r 2에서이 문제를 해결 하려면 업데이트 2967917를 설치 합니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 다음 문서를 확인하십시오.

2967917 2014 년 7 월 업데이트 롤업 Windows RT 8.1, 8.1 Windows 및 Windows Server 2012 R2
Windows 7 또는 Windows Server 2008 r 2에서이 문제를 해결 하려면이 문서의 "핫픽스 정보" 절에 설명 되어 있는 핫픽스를 설치 합니다.

이 핫픽스를 설치 하기 전에 인증 기관에서 발급 하는 일련 번호 읽는 OCSP 서비스를 구성 해야 합니다. 이렇게 하려면 일련 번호 파일을 저장 하 고이 디렉터리를 가리키는 레지스트리 키를 만들 수 있는 디렉토리 위치를 만들려면이 섹션의 단계를 따릅니다.

참고

디렉터리가는 네트워크 공유에 있는 하거나 로컬 컴퓨터에서 호스트 될 수 있습니다. 배열 구성을 설정한 경우 모든 배열 구성원 수 "읽기"에 액세스할 수 있도록 네트워크 공유 디렉터리를 호스팅하는 것이 좋습니다.
디렉터리를 찾으면 상관 없이 OCSP 서비스에 디렉터리에 읽기 권한이 있는지 확인 하십시오. 레지스트리 설정을이 핫픽스 패치가 적용 되지 않은 모든 Microsoft 온라인 응답자에 적용 되지 않습니다.

OCSP 서비스 구성

OCSP 서비스를 구성 하는 인증 기관 컴퓨터에서 다음 단계를 실행 합니다.

1 단계: 디렉터리 구조

메모장을 시작한 다음 새 문서에 다음 예제 스크립트를 붙여 넣습니다.

param(    [ValidateScript({Test-Path $_})]
    [String] $Path
)
pushd $Path
dir | foreach {
    remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
        New-Item -type File $matches[1] | out-null
     } 
}
popd

새 문서를 Certs.ps1로 저장 합니다.
발급된 하는 모든 일련 번호에 해당 하는 빈 파일은 한 디렉터리를 만듭니다.
Certs.ps1 스크립트를 실행 합니다. 이렇게 하려면 Windows PowerShell 다음 명령을 실행 합니다.

Certs.ps1 < 디렉터리 위치 3 단계에서 만든 >
파일에 발급 된 일련 번호와 일치 하는지 확인 하려면 3 단계에서 만든 디렉터리를 검사 합니다.

참고: 호스팅된 환경에서 여러 개의 Ca를 사용 하도록 설정한 경우 해당 일련 번호 디렉터리의 다른 인지 확인 합니다. 다른 Ca 간에 동일한 디렉터리를 공유 하지 않습니다.
CA 컴퓨터에서 스크립트를 실행 하 고 제한적인 Acl을 지정 하 여 저장된 된 파일을 업로드 합니다. 파일을 편집할 수 없습니다. 이 위치는 모든 Microsoft 온라인 응답자 컴퓨터에 액세스할 수 있는지 확인 하십시오.

이 절차에 대 한 자세한 내용

Microsoft 온라인 응답자는 발급 한 모든 인증서에 대 한 하지만 6 단계에서 만든 파일에 아직 알 수 없음의 값을 반환 합니다. 이 스크립트 정기적으로 실행 하 고 Microsoft 온라인 응답자는 최신 상태를 제공 하기 위해 새로 고침 해야 합니다. 이 간격 설정은 특정 배포 환경에 따라 달라 집니다. 좋습니다 다음 CRL의 값을 적절 한 간격을 4 시간에서 아무 곳 이나 선택 하는 날짜를 게시 합니다.

2 단계: 레지스트리

경고 레지스트리 편집기를 사용하거나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제는 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제에 대한 해결책을 보장할 수 없습니다. 사용자는 스스로 위험을 감수하고 레지스트리를 수정해야 합니다.

모든 Windows 응용 프로그램을 종료 합니다.
시작 실행을 차례로 누르고 regedit를 입력 한 다음 확인을 누릅니다.
다음 레지스트리 하위 키를 찾아 선택합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
디렉터리 구조를 만드는 대상 인증 기관 (CA)를 클릭 합니다.
공급자 노드를 마우스 오른쪽 단추로 클릭 하 고 새로 만들기를 가리킨 다음 다중 문자열 값을 클릭 합니다.
IssuedSerialNumbersDirectories입력 하 고 enter 키를 누릅니다.
IssuedSerialNumbersDirectories마우스 오른쪽 단추로 클릭 하 고 수정을 클릭 합니다.
값 데이터 상자에 디렉터리 구조 절차의 3 단계에서 만든 및 발급 된 일련 번호를 포함 하 고 확인을 클릭 한 다음 디렉터리 경로를 입력 합니다.

디렉터리 경로 다음 형식을 사용 합니다.

\\<computername>\<directorylocation>예를 들어, 다음과 유사한 경로 사용 하 여.

\\contoso-ocspfileserver\SerialNumbers
파일 메뉴에서 레지스트리 편집기를 종료하려면 종료를 클릭합니다.
이 문서에서 설명 하는 핫픽스 패키지를 설치 합니다.

"디렉터리 구조"와 "레지스트리" 단계를 수행한 후이 문서에서 설명 하는 핫픽스 패키지를 설치 합니다.

결과

핫픽스를 설치한 후 온라인 응답자 서비스는 다음과 같이 해야 합니다.

인증서를 확인 된 값을 반환
해지는 인증서의 CRL에 포함 된 값을 반환
알 수 없는 확인할 수 없는 모든 인증서에 대 한 값을 반환 합니다.

핫픽스 정보

지원 되는 핫픽스는 Microsoft 기술 지원부에서 사용할 수 있습니다. 그러나 이 핫픽스는 오직 이 문서에서 설명하는 문제를 해결하는 작업에만 사용됩니다. 이 문서에서 설명한 문제가 발생하는 시스템에만 이 핫픽스를 적용하십시오. 이 핫픽스는 추가 테스트가 필요할 수도 있습니다. 따라서, 이 문제로 심각하게 영향을 받지 않는 경우 이 핫픽스가 포함된 다음 소프트웨어 업데이트가 나올 때까지 기다리는 것이 좋습니다.

핫픽스를 다운로드할 수 있는 경우, 이 기술 자료 문서의 상단에 "핫픽스 다운로드 가능" 섹션이 있습니다. 이 섹션이 나타나지 않으면, Microsoft 고객 지원에 문의하여 핫픽스를 얻으십시오.

참고: 추가 문제가 발생하거나 문제 해결이 필요한 경우, 별도로 서비스를 요청해야 할 수도 있습니다. 추가 지원 질문과 이 특정 핫픽스가 필요하지 않은 문제에는 일반 지원 비용이 적용됩니다. Microsoft 고객 서비스 및 지원 전화 번호의 전체 목록을 보거나 별도 서비스 요청을 만들려면, 다음 Microsoft 웹 사이트로 이동하십시오.

http://support.microsoft.com/contactus/?ws=support참고: "핫픽스 다운로드 사용 가능" 형식은 핫픽스 사용이 가능한 언어를 표시합니다. 사용자 언어가 표시되지 않는 것은 핫픽스를 해당 언어로 사용할 수 없기 때문입니다.

전제 조건

이 핫픽스를 적용 하려면 Windows 7 또는 Windows Server 2008 R2 설치를 위한 서비스 팩 1 있어야 합니다.

다시 시작 요구 사항

이 핫픽스를 적용 한 후 컴퓨터를 다시 시작할 필요가 없습니다.

핫픽스 대체 정보

이 핫픽스는 이전에 릴리스된 핫픽스를 대체하지 않습니다.

이 핫픽스의 영어(미국) 버전은 다음 표에 나열된 특성을 갖는 파일을 설치합니다. 이러한 파일의 시간과 날짜는 협정 세계시(UTC)로 나열됩니다. 로컬 컴퓨터에서 이러한 파일의 시간과 날짜는 현재 일광 절약 시간제(DST) 바이어스와 함께 현지 시간으로 표시됩니다. 또한, 날짜와 시간은 파일에 대해 특정 작업을 수행할 때 변경될 수 있습니다.

Windows 7 및 Windows Server 2008 R2의 파일 정보 및 메모중요: Windows 7 핫픽스 및 Windows Server 2008 R2 핫픽스는 같은 패키지에 포함되어 있습니다. 그러나 핫픽스 요청 페이지에 있는 핫픽스는 두 운영 체제 아래에 나열됩니다. 하나 또는 두 운영 체제에 적용되는 핫픽스 패키지를 요청하려면 "Windows 7/Windows Server 2008 R2" 페이지에 나열된 핫픽스를 선택합니다. 항상 각 핫픽스 적용 되는 실제 운영 체제 확인 하려면 문서 "적용 대상" 섹션을 참조 하십시오.

특정 제품, SR_Level(RTM, SPn) 및 서비스 분기(LDR, GDR)에 적용되는 파일은 다음 표에 나오는 파일 버전 번호를 검토하여 식별할 수 있습니다.

버전	제품	SR_Level	서비스 분기
6.1.760 1. 22xxx	Windows 7 및 Windows Server 2008 R2	SP1	LDR

GDR 서비스 분기는 광범위하게 퍼져 있는 매우 중요한 문제의 해결을 위해 널리 배포된 수정만 포함합니다. LDR 서비스 분기는 광범위하게 출시된 픽스 외에 핫픽스도 포함합니다.
매니페스트 파일 (.manifest) 및 MUM 파일 (.mum) 설치 되어 있는 각 환경에 대 한 "추가 파일을 Windows 7 및 Windows Server 2008 r 2에 대 한 정보" 절에서 별도로 나열 됩니다. MUM 및 매니페스트 파일과 관련 된 보안 카탈로그 (.cat) 파일은 업데이트 된 구성 요소의 상태를 유지 하기 위해 매우 중요 합니다. 해당 특성이 나열되지 않은 보안 카탈로그 파일은 Microsoft 디지털 서명으로 서명됩니다.

지원되는 모든 x86 기반 버전의 Windows 7

파일 이름	파일 버전	파일 크기	날짜	시간	플랫폼	SP 요구 사항	서비스 분기
Certadm.dll	6.1.7601.22705	311,808	30-May-2014	07:35	x86	없음	해당 없음
Ocsprevp.dll	6.1.7601.22705	151,552	30-May-2014	07:35	x86	SPR	X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

지원되는 모든 x64 기반 버전의 Windows 7 및 Windows Server 2008 R2

파일 이름	파일 버전	파일 크기	날짜	시간	플랫폼	SP 요구 사항	서비스 분기
Certadm.dll	6.1.7601.22705	419,840	30-May-2014	08:00	x64	없음	해당 없음
Ocsprevp.dll	6.1.7601.22705	184,832	30-May-2014	08:00	x64	SPR	AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP
Certadm.dll	6.1.7601.22705	311,808	30-May-2014	07:35	x86	없음	해당 없음

Windows 7 및 Windows Server 2008 R2에 대 한 추가 파일 정보

지원되는 모든 x86 기반 버전의 Windows 7에 대한 추가 파일

파일 속성	값
파일 이름	X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest
파일 버전	해당 없음
파일 크기	720
날짜(UTC)	30-May-2014
시간(UTC)	13:22
플랫폼	해당 없음
파일 이름	X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest
파일 버전	해당 없음
파일 크기	719
날짜(UTC)	30-May-2014
시간(UTC)	13:22
플랫폼	해당 없음
파일 이름	X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest
파일 버전	해당 없음
파일 크기	63,628
날짜(UTC)	30-May-2014
시간(UTC)	07:59
플랫폼	해당 없음
파일 이름	X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest
파일 버전	해당 없음
파일 크기	11,236
날짜(UTC)	30-May-2014
시간(UTC)	08:00
플랫폼	해당 없음

Windows 7 및 Windows Server 2008 r 2의 지원 되는 모든 x64 기반 버전에 대 한 추가 파일

파일 속성	값
파일 이름	Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest
파일 버전	해당 없음
파일 크기	723
날짜(UTC)	30-May-2014
시간(UTC)	13:22
플랫폼	해당 없음
파일 이름	Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest
파일 버전	해당 없음
파일 크기	721
날짜(UTC)	30-May-2014
시간(UTC)	13:22
플랫폼	해당 없음
파일 이름	Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest
파일 버전	해당 없음
파일 크기	724
날짜(UTC)	30-May-2014
시간(UTC)	13:22
플랫폼	해당 없음
파일 이름	Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest
파일 버전	해당 없음
파일 크기	63,632
날짜(UTC)	30-May-2014
시간(UTC)	08:30
플랫폼	해당 없음
파일 이름	Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest
파일 버전	해당 없음
파일 크기	11,240
날짜(UTC)	30-May-2014
시간(UTC)	08:30
플랫폼	해당 없음
파일 이름	X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest
파일 버전	해당 없음
파일 크기	63,628
날짜(UTC)	30-May-2014
시간(UTC)	07:59
플랫폼	해당 없음

상태

Microsoft는 이 문제가 '적용 대상' 섹션에 나열된 Microsoft 제품의 문제임을 확인했습니다.

자세한 내용

이 핫픽스는 Microsoft OCSP 응답자의 모든 인증서를 다음 내용이 인식 하면 설계 변경을 제공 합니다.

CA에서 발급 합니다.
해지 하지 않습니다.
이들은 현재 유효 기간 에입니다.

참조

Microsoft 소프트웨어 업데이트를 설명 하기 위해 사용 하는 용어 에 대해 알아봅니다.