Požymiai
Įsivaizduokite tokią situaciją:
-
Turite "Microsoft" internete atsakiklio paslauga "serveryje, kuriame veikia Windows Server 2008 R2" arba "Windows Server 2012 R2".
-
Serverį galima konfigūruoti ir valdyti Internete sertifikato būsenos protokolą (tinkle OCSP) patvirtinimo.
Tokiu atveju internete atsakiklio paslauga nepateikia deterministic tinka visus sertifikatus, kurie neįtraukti į sertifikatų atšauktųjų sertifikatų sąrašą (CRL) reikšmė.
Priežastis
Ši problema kyla dėl to, kad OCSP netikrina patvirtintų šaltinis kad savo atitinkamas sertifikatas institucija faktiškai išduotas sertifikatas. Vietoj to, jei sertifikatas neįtrauktas į CRL, internete atsakiklio paslauga mano, kad sertifikatas galioja ir grąžina reikšmę iš geros.
Sprendimas
Norėdami išspręsti šią problemą, sistemoje "Windows 8.1" arba "Windows Server 2012 R2, įdiekite naujinimą 2967917. Norėdami gauti daugiau informacijos, spustelėkite toliau pateiktą straipsnio numerį ir peržiūrėkite „Microsoft Knowledge Base“ žinių bazės straipsnį:
2967917 2014 m. liepos specifinių naujinimų paketas, skirtas Windows RT 8.1, Windows 8.1 ir "Windows Server 2012 R2"
Norėdami išspręsti šią problemą, sistemoje "Windows 7" arba "Windows Server 2008 R2, įdiekite karštąsias pataisas, aprašytas šio straipsnio skyriuje"Karštosios pataisos informacija".
Prieš diegdami šias karštąsias pataisas, turite sukonfigūruoti OCSP paslauga skaityti serijos numerių, kurie yra išleistos sertifikavimo tarnyba. Norėdami tai padaryti, atlikite veiksmus šiame skyriuje sukurti katalogo vietą, kurioje norite serijos numeris failus ir sukurti registro raktus, kurie nurodo į šį katalogą.
Pastabos
-
Kataloge galite yra bendrai naudojamame tinklo objekte arba nuomojamą vietiniame kompiuteryje. Jei norite nustatyti masyvo konfigūraciją, rekomenduojame, kad jūs pagrindinio kompiuterio bendrai naudojamo tinklo katalogą, kad visi masyvo nariai gali "skaityti" prieigą prie jo.
-
Neatsižvelgiant į tai, kur yra katalogą, įsitikinkite, kad OCSP paslauga yra katalogo skaitymo teisę. Registro parametrus bus netaikoma jokių Microsoft Online atsakas, yra ne lopas iš šios karštosios pataisos.
OCSP paslaugos
Vykdykite šiuos veiksmus sertifikavimo tarnyba kompiuteryje, kuris sukonfigūruotas OCSP paslauga.
1 žingsnis: Katalogo struktūrą
-
Įjunkite užrašinę ir įklijuokite toliau scenarijaus pavyzdys į naują dokumentą:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Įrašyti naują dokumentą kaip Certs.ps1.
-
Sukurti katalogą kai tuščias failus, kurie atitinka visų išleistų serijos numerius turi būti laikoma.
-
Paleisti Certs.ps1 scenarijų. Norėdami tai padaryti, vykdykite šią komandą "Windows PowerShell".
Certs.ps1 < katalogą 3 veiksme sukurtą >
-
Išnagrinėti kataloge, kurį sukūrėte atlikdami 3 Įsitikinkite, kad failų atitiktų išleistų serijos numerius.
Pastaba. Jei turite kelis CAs hosted jūsų aplinkoje, įsitikinkite, kad jų atitinkamą katalogų serijos numeris yra skirtingi. Bendrinti tą patį katalogą tarp skirtingų CAs. -
Paleisti scenarijų kompiuteryje, CA, ir įkelti įrašytą failą prieš jį apribojantį ACL. Kad failas gali būti redaguojamas. Įsitikinkite, kad visi Microsoft Online atsakiklio kompiuteriai gali pasiekti šią vietą.
Daugiau informacijos apie šią procedūrą
Microsoft Online atsakiklio grąžina vertė nežinoma visus sertifikatus, kurie išleidžiami, bet dar failas, sukurtas atlikdami 6 veiksmą. Šis scenarijus turi būti paleisti į įprastinio ir atnaujinti tam, kad Microsoft Online atsakiklio teikti naujausia statusą. Šio intervalo nustatymas priklauso nuo jūsų konkrečių diegimo aplinka. Rekomenduojame, kad pasirinkote tam tikro atitinkamo laiko bet nuo keturias valandas kitą CRL reikšmė data.
2 veiksmas: registro
Įspėjimas. Jei naudodami registro rengyklę arba kitu būdu registrą pakeisite neteisingai, gali kilti rimtų problemų. Šios problemos gali tekti iš naujo įdiegti operacinę sistemą. Microsoft negali garantuoti, kad šias problemas pavyks išspręsti. Keisdami registrą prisiimate atsakomybę.
-
Uždarykite visas "Windows" programas.
-
Spustelėkite pradėti, spustelėkite Vykdyti, įveskite regedit ir spustelėkite Gerai.
-
Raskite ir pažymėkite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Spustelėkite sertifikavimo institucija (CA), kuriam sukūrėte katalogo struktūrą.
-
Dešiniuoju pelės mygtuku spustelėkite Teikėjo mazgas, perkelkite pelės žymiklį ant naujas, ir tada spustelėkite Kelių eilučių reikšmė.
-
Tipo IssuedSerialNumbersDirectories, ir tada paspauskite Enter.
-
Dešiniuoju pelės mygtuku spustelėkite IssuedSerialNumbersDirectories, ir tada spustelėkite keisti.
-
Reikšmės duomenų lauke įveskite kelią į katalogą katalogo struktūrą tvarkos 3 veiksme sukurtą ir kad yra išleistų serijos numerius, o tada spustelėkite gerai.
Katalogo kelio, naudokite šį formatą:\\<computername>\<directorylocation>Pvz., naudoti kelias, kuris panašus į šį:
\\contoso-ocspfileserver\SerialNumbers
-
Meniu failas spustelėkite išeiti ir išeikite iš registro rengyklės.
-
Įdiegti karštųjų pataisų paketą, yra nurodyta šiame straipsnyje.
Atlikus "Katalogo struktūrą" ir "Registras" veiksmus, įdiegti karštųjų pataisų paketą, yra nurodyta šiame straipsnyje.
Rezultatai
Įdiegus šias karštąsias pataisas, internete atsakiklio paslauga turi atlikti šiuos veiksmus:
-
Grįžti vertė yra geras sertifikatai, patvirtinti
-
Grįžti vertė yra atšauktas sertifikatai, kurie neįtraukti į CRL
-
Grąžinta reikšmė nežinoma dėl visų kitų sertifikatus, kurie negali būti patikrinti
Karštųjų pataisų informacija
Palaikomas karštąsias pataisas galite atsisiųsti iš Microsoft Support. Tačiau šios karštosios pataisos skirtos tik šiame straipsnyje aprašytai problemai spręsti. Taikykite šias karštąsias pataisas tik tose sistemose, kuriose kyla šiame straipsnyje aprašoma problema. Šios karštosios pataisos gali būti papildomai testuojamos. Todėl jei ši triktis nekelia jums labai didelių problemų, rekomenduojame palaukti kito programinės įrangos naujinimo, kuriame bus šios karštosios pataisos.
Jeigu karštąsias pataisas galima atsisiųsti, šio žinių bazės straipsnio viršuje yra skyrius „Galima atsisiųsti karštąsias pataisas“. Jei šis skyrius nerodomas, kreipkitės į „Microsoft“ klientų aptarnavimo ir palaikymo tarnybą, kad gautumėte karštąsias pataisas.
Pastaba. Jeigu kyla papildomų problemų arba jei reikia šalinti triktis, gali reikėti pateikti atskirą užklausą. Už papildomą pagalbą dėl problemų ir klausimų, nesusijusių su čia nurodytomis karštosiomis pataisomis, bus taikomi įprasti mokesčiai už pagalbos paslaugas. Norėdami rasti išsamų „Microsoft“ klientų aptarnavimo ir palaikymo tarnybų telefonų numerių sąrašą arba sukurti atskirą pagalbos užklausą, apsilankykite šioje „Microsoft“ svetainėje:
http://support.microsoft.com/contactus/?ws=supportPastaba. Formoje „Galima atsisiųsti karštąsias pataisas“ nurodomos kalbos, kurioms skirtos karštosios pataisos. Jei nematote savo kalbos, tai kalbai skirtų karštųjų pataisų nėra.
Būtinosios sąlygos
Norint taikyti šias karštąsias pataisas, turi būti 1 pakeitimų paketas , Windows 7 "arba" Windows Server 2008 R2 įdiegta.
Reikalavimas paleisti iš naujo
Pritaikius šias karštąsias pataisas kompiuterio nereikia paleisti iš naujo.
Karštųjų pataisų pakeitimo informacija
Šios karštosios pataisos nepakeičia jokių anksčiau išleistų karštųjų pataisų.
Anglų (JAV) šios karštosios pataisos versija įdiegia failus, kurie turi atributus, kurie išvardyti toliau pateikiamose lentelėse. Šių failų datos ir laikai yra išvardyti pagal universalųjį laiką (UTC). Šių failų datos ir laikai vietiniame kompiuteryje rodomi vietiniu laiku, vasaros / žiemos laiku (DST). Be to, šios datos ir laikai gali keistis, kai atliekate tam tikras operacijas su failais.
„Windows 7“ ir „Windows Server 2008 R2“ failų informacija ir pastabosSvarbu. „Windows 7“ ir „Windows Server 2008 R2“ karštosios pataisos yra įtrauktos į tuos pačius paketus. Tačiau karštųjų pataisų užklausos puslapyje karštosios pataisos išvardijamos prie abiejų operacinių sistemų. Norėdami pateikti užklausą dėl karštųjų pataisų paketo, skirto vienai ar abiem operacinėms sistemoms, pasirinkite karštąsias pataisas, nurodytas puslapyje prie „Windows 7“ / „Windows Server 2008 R2“. Visada perskaitykite skyrių „Taikoma“, kad žinotumėte, kokiai operacinei sistemai taikomos konkrečios karštosios pataisos.
-
Failus, kurie yra susiję su tam tikru produktu, SR_Level (RTM, SPn), ir paslaugų šaka (LDR, GDR), gali būti identifikuojami patikrinus failų versijos numerius, rodomus šioje lentelėje.
Versija
Produktas
SR_Level
Paslaugų šaka
6.1.760
1. 22xxx„Windows 7“ ir „Windows Server 2008 R2“
SP1
LDR
-
GDR paslaugų šakos turi tik tas pataisas, kurios yra plačiai paplitusios ir skirtos itin svarbiems klausimams. Be bendrai pasiekiamų pataisų, dar yra LDR paslaugų šakoms skirtų karštųjų pataisų.
-
MANIFEST (.manifest) ir MUM failai (.mum), kurie įdiegti kiekvienoje aplinkoje, yra pateikti atskirame sąraše skyriuje "Papildomų failų informacija" Windows 7 "ir" Windows Server 2008 R2". MUM ir MANIFEST ir susieti saugos katalogų (.cat) failai yra itin svarbūs palaikant atnaujintų komponentų būseną. Saugos katalogų failai, kurių atributai neišvardyti, yra pasirašyti „Microsoft“ skaitmeniniu parašu.
Visos palaikomos x86 pagrindo „Windows 7“ versijos
|
Failo vardas |
Failo versija |
Failo dydis |
Data |
Laikas |
Platforma |
SP reikalavimas |
Paslaugų šaka |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nerasta |
Netaikoma |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Visoms palaikomoms x64-"Windows 7" ir "Windows Server 2008 R2" versijoms
|
Failo vardas |
Failo versija |
Failo dydis |
Data |
Laikas |
Platforma |
SP reikalavimas |
Paslaugų šaka |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Nerasta |
Netaikoma |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nerasta |
Netaikoma |
Papildoma failų informacija "Windows 7" ir "Windows Server 2008 R2"
Papildomi failai, skirti visoms palaikomoms x86 pagrindo „Windows 7“ versijoms
|
Failo ypatybės |
Reikšmė |
|---|---|
|
Failo vardas |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
720 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
13:22 |
|
Platforma |
Netaikoma |
|
Failo vardas |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
719 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
13:22 |
|
Platforma |
Netaikoma |
|
Failo vardas |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
63,628 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
07:59 |
|
Platforma |
Netaikoma |
|
Failo vardas |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
11,236 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
08:00 |
|
Platforma |
Netaikoma |
Papildomi failai visoms palaikomoms x64 "Windows 7" ir "Windows Server 2008 R2"
|
Failo ypatybės |
Reikšmė |
|---|---|
|
Failo vardas |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
723 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
13:22 |
|
Platforma |
Netaikoma |
|
Failo vardas |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
721 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
13:22 |
|
Platforma |
Netaikoma |
|
Failo vardas |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
724 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
13:22 |
|
Platforma |
Netaikoma |
|
Failo vardas |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
63,632 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
08:30 |
|
Platforma |
Netaikoma |
|
Failo vardas |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
11,240 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
08:30 |
|
Platforma |
Netaikoma |
|
Failo vardas |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Failo versija |
Netaikoma |
|
Failo dydis |
63,628 |
|
Data (UTC) |
30-May-2014 |
|
Laikas (UTC) |
07:59 |
|
Platforma |
Netaikoma |
Būsena
„Microsoft“ patvirtino, kad tai yra „Microsoft“ produktų, išvardytų skyriuje „Taikoma“, problema.
Daugiau informacijos
Šios karštosios pataisos numato dizaino pakeitimo, kuris leidžia Microsoft OCSP atsakiklio apie visus sertifikatus, kurie taip vadinasi:
-
Jie yra išleistos po.
-
Jie yra atšauktas.
-
Jie šiuo metu savo galiojimo laiką.
Nuorodos
Sužinokite daugiau apie terminologiją , kurią "Microsoft" naudoja programinės įrangos naujinimams apibūdinti.
