Pazīmes
Apsveriet šādu situāciju:
-
Ir instalēti serverī, kurā darbojas sistēma Windows Server 2008 R2 vai Windows Server 2012 R2 Microsoft tiešsaistes atbildētāja pakalpojumu.
-
Tiek izmantota servera konfigurēšana un pārvaldība Tiešsaistes sertifikātu statusa protokolu (OCSP) validācijas.
Šajā gadījumā pakalpojuma tiešsaistes atbildētāja neatgriež deterministiskā vērtība ir piemērots visus sertifikātus, kas nav iekļautas sertifikātu atsaukšanas saraksts (CRL).
Cēlonis
Šī problēma rodas, jo OCSP nepārbauda apstiprinātais avots, sertifikātu izdota faktiski tā atbilstošā sertificēšanas iestāde. Ja sertifikāts nav iekļauts CRL, tiešsaistes atbildētāja pakalpojums pieņem, sertifikāts ir derīgs un atgriež vērtību labi.
Risinājums
Lai novērstu šo problēmu, sistēmā Windows 8.1 vai Windows Server 2012 R2, instalējiet atjauninājumu 2967917. Lai iegūtu papildinformāciju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
2967917 jūlijā 2014 atjauninājumu apkopojums Windows RT 8,1 8,1 Windows un Windows Server 2012 R2
Lai novērstu šo problēmu, sistēmā Windows 7 vai Windows Server 2008 R2, instalējiet labojumfailu, kas aprakstīts šī raksta sadaļā "Informācija par labojumfailu".
Pirms instalēt šo labojumfailu, ir jākonfigurē OCSP servisa lasīt sērijas numuru, kas ir izsniegusi sertificēšanas iestāde. Lai to izdarītu, izpildiet šajā sadaļā, lai izveidotu direktorija atrašanās vietu, kur saglabāt failu sērijas numuru un izveidot reģistra atslēgas, kas norāda uz šo direktoriju.
Piezīmes
-
Direktoriju var atrast tīkla koplietojumā vai izvietots lokālajā datorā. Iestatot masīva konfigurāciju, ieteicams viesojot direktorija tīkla koplietojumā, lai visas masīva dalībnieki var "izlasījis" piekļuvi.
-
Neatkarīgi no tā, kur atrodas direktorijā, pārliecinieties, vai pakalpojumu OCSP direktorija lasīšanas atļauja. Reģistra iestatījumi neattiecas uz Microsoft tiešsaistes sniedzējiem, kas nav patched ar šo labojumfailu.
OCSP pakalpojuma konfigurēšana
Ir konfigurēta OCSP servisa sertificēšanas iestādes datorā, palaidiet tālāk norādītās darbības.
1. darbība: Direktoriju struktūru
-
Startējiet programmu Notepad un pēc tam ielīmējiet šādu skripta paraugā jaunu dokumentu:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Certs.ps1saglabāšana jaunajā dokumentā.
-
Izveidot direktoriju, kurās ir jāglabā tukšā failus, kas atbilst visām izlaistā sērijas numuru.
-
Certs.ps1 palaist. Lai to paveiktu, izpildiet Windows PowerShell komandu:
Certs.ps1 < direktorija atrašanās vieta 3. solī izveidoto >
-
Pārbaudiet direktoriju, kurā tiek izveidots 3. darbībā, lai nodrošinātu, ka faili atbilst izlaistā sērijas numuru.
Piezīme. Ja jums ir vairāki CAs izvietoti vide, pārliecinieties, vai to atbilstošo numuru direktoriju atšķiras. Nevar koplietot starp dažādām CAs tajā pašā direktorijā. -
Datorā nevar palaist, un augšupielādēt saglabāto failu, piešķirot tam traucēt ACL. Failu nevar labot. Pārliecinieties, vai Microsoft tiešsaistes atbildētāja datori var piekļūt šeit.
Papildinformāciju par šo procedūru
Microsoft tiešsaistes atbildētāja atgriež NEZINĀMU vērtību visiem sertifikātiem, ko izsniedz, bet vēl nav 6. solī izveidoto failu. Šis skripts palaist regulāri intervāls un atsvaidzināt, lai Microsoft tiešsaistes atbildētāja sniegt atjauninātu statusu. Šis iestatījums intervāls ir atkarīga no konkrētu izvietošanas vidē. Mēs iesakām izvēlēties piemērotu intervālu jebkurā no četrām stundām vērtību nākamā CRL publicēšanas datums.
2. darbība: reģistra
Brīdinājums. Nepareizi modificējot reģistru, izmantojot reģistra redaktoru vai citu metodi, var rasties nopietnas problēmas. Šo problēmu dēļ var būt atkārtoti jāinstalē operētājsistēma. Microsoft negarantē, ka šīs problēmas var atrisināt. Jūs uzņematies atbildību par reģistra modificēšanu.
-
Aizveriet visas Windows programmas.
-
Noklikšķiniet uz Sākt, noklikšķiniet uz palaist, ierakstiet regeditun pēc tam noklikšķiniet uz Labi.
-
Atrodiet un atlasiet šo reģistra apakšatslēgu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Noklikšķiniet uz sertificēšanas iestādi (CA), kuru izveidojāt direktoriju struktūru.
-
Ar peles labo pogu noklikšķiniet uz Nodrošinātāja mezglu, norādiet uz izveidot jaunuun pēc tam noklikšķiniet uz Multi-String Value.
-
Ierakstiet IssuedSerialNumbersDirectoriesun pēc tam nospiediet taustiņu Enter.
-
Ar peles labo pogu noklikšķiniet uz IssuedSerialNumbersDirectoriesun pēc tam noklikšķiniet uz modificēt.
-
Vērtības datu lodziņā ierakstiet ceļu uz direktoriju direktoriju struktūru procesa 3. solī izveidoto un kas ir izlaistā sērijas numuru un pēc tam noklikšķiniet uz Labi.
Direktorija ceļu, izmantojiet šādu formātu:\\<computername>\<directorylocation>Piemēram, izmantojiet ceļu, kas ir līdzīgs šim:
\\contoso-ocspfileserver\SerialNumbers
-
Izvēlnē Fails noklikšķiniet uz Exit , lai aizvērtu reģistra redaktoru.
-
Šajā rakstā minēto labojumfailu pakotnes instalēšanas.
Pēc "Direktoriju struktūru" un "Reģistra" darbības, instalējiet šajā rakstā minēto labojumfailu pakotni.
Rezultāti
Pēc labojumfaila instalēšanas pakalpojumu tiešsaistes atbildētāja jārīkojas šādi:
-
Atgriež vērtību labas sertifikātus, kas tiek pārbaudīti
-
Atgriež vērtību ATSAUKTIEM sertifikātiem, kas iekļauti CRL
-
Atgriezt vērtību NEZINĀMU visus sertifikātus, kurus nevar pārbaudīt
Informācija par labojumfailu
Korporācija Microsoft Support ir atbalstīts labojumfails. Tomēr šis labojumfails ir paredzēts tikai šajā rakstā aprakstītās problēmas novēršanai. Lietojiet šo labojumfailu tikai tām sistēmām, kurām ir radusies šajā rakstā aprakstītā problēma. Šajā labojumfailā, iespējams, tiks veikta papildu testēšana. Tādēļ, ja jums šī problēma nerada nopietnus traucējumus, ieteicams pagaidīt nākamos programmatūras atjauninājumus, kuros ir iekļauts šis labojumfails.
Ja labojumfails ir pieejams lejupielādei, sadaļa "Pieejama labojumfaila lejupielāde" ir pieejama šī zināšanu bāzes raksta augšpusē. Ja šādas sadaļas nav, sazinieties ar Microsoft klientu apkalpošanas un atbalsta dienestu, lai iegūtu labojumfailu.
Piezīme. Ja rodas papildu problēmas vai nepieciešama problēmu novēršana, iespējams, būs jāizveido atsevišķs pakalpojuma pieprasījums. Parasti atbalsta izmaksas tiek piemērotas jautājumiem par papildu atbalstu un problēmām, kas neattiecas uz šo konkrēto labojumfailu. Lai iegūtu pilnīgu sarakstu ar Microsoft klientu apkalpošanas un atbalsta centra tālruņa numuriem vai izveidotu atsevišķu pakalpojuma pieprasījumu, apmeklējiet šo Microsoft vietni:
http://support.microsoft.com/contactus/?ws=supportPiezīme. Veidlapā "Pieejama labojumfaila lejupielāde" norādītas valodas, kurām ir pieejams labojumfails. Ja tajā nav vajadzīgās valodas, tas nozīmē, ka šai valodai labojumfails nav pieejams.
Priekšnosacījumi
Lai lietotu šo labojumfailu, datorā jābūt instalētai 1. servisa pakotne sistēmai Windows 7 vai Windows Server 2008 R2.
Restartēšanas nepieciešamība
Nav pēc šī labojumfaila lietošanas jārestartē dators.
Informācija par labojumfaila aizstāšanu
Šis labojumfails neaizstāj nevienu iepriekš izlaistu labojumfailu.
Šī labojumfaila versijai angļu valodā (ASV) tiek instalēti faili, kuru atribūti ir norādīti tālāk esošajās tabulās. Šo failu datumi un laiki ir norādīti atbilstoši universālajam koordinētajam laikam (UTC). Šo failu datumi un laiki lokālajā datorā tiek parādīti atbilstoši vietējam laikam, ņemot vērā pašreizējo vasaras / ziemas laika nobīdi. Turklāt datumi un laiki var mainīties, ja ar failiem tiek veiktas noteiktas darbības.
Windows 7 un Windows Server 2008 R2 faila informāciju un piezīmesSvarīgi! Windows 7 labojumfaili un Windows Server 2008 R2 labojumfaili ir iekļauti vienās un tajās pašās pakotnēs. Tomēr lapā labojumfailu pieprasījums esošie labojumfaili ir norādīti abām operētājsistēmām. Lai pieprasītu labojumfailu pakotni, kas paredzēta vienai vai abām operētājsistēmām, atlasiet labojumfailu, kas norādīts sadaļā "Windows 7/Windows Server 2008 R2" lapā. Vienmēr skatiet sadaļā "Attiecas uz", lai noteiktu, kurai operētājsistēmai katrs labojumfails ir paredzēts.
-
Failus, kas attiecas uz noteiktu produktu, SR_Level (RTM, SPn), un pakalpojuma jomu (LDR, GDR), var identificēt, apskatot faila versijas numurus, kā norādīts tālāk redzamajā tabulā.
Versija
Produkts
SR_Level
Pakalpojums
6.1.760
1. 22xxxWindows 7 un Windows Server 2008 R2
SP1
LDR
-
GDR pakalpojuma jomās ir ietverti tikai plaša laidiena labojumi, kas ir paredzēti izplatītu un ļoti svarīgu problēmu novēršanai. LDR pakalpojuma jomās ir ietverti ne tikai plaša laidiena labojumi, bet arī labojumfaili.
-
MANIFEST faili (. manifest) un MUM faili (. Mum), kas tiek instalēti katrai videi, ir norādīti atsevišķi sadaļā "Papildu informāciju par Windows 7 un Windows Server 2008 R2 faila". MUM un MANIFEST faili un saistītie drošības kataloga (. CAT) faili ir ļoti svarīgi, lai uzturētu atjaunināto komponentu stāvokli. Drošības kataloga faili, kuru atribūti nav norādīti sarakstā, ir parakstīti ar Microsoft ciparparakstu.
Visām atbalstītajām Windows 7 x86 bitu versijām
Faila nosaukums |
Faila versija |
Faila lielumu |
Datums |
Laiks |
Platformas |
SP prasības |
Pakalpojums |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nav |
Neattiecas |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Visām atbalstītajām sistēmas Windows 7 un Windows Server 2008 R2 x64 platformas versijām
Faila nosaukums |
Faila versija |
Faila lielumu |
Datums |
Laiks |
Platformas |
SP prasības |
Pakalpojums |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Nav |
Neattiecas |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nav |
Neattiecas |
Informācija par papildu failiem sistēmai Windows 7 un Windows Server 2008 R2
Papildu faili visām atbalstītajām Windows 7 x86 bitu versijām
Faila rekvizītu |
Vērtība |
---|---|
Faila nosaukums |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
720 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
13:22 |
Platformas |
Neattiecas |
Faila nosaukums |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
719 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
13:22 |
Platformas |
Neattiecas |
Faila nosaukums |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
63,628 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
07:59 |
Platformas |
Neattiecas |
Faila nosaukums |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
11,236 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
08:00 |
Platformas |
Neattiecas |
Papildu faili visām atbalstītajām sistēmas Windows 7 un Windows Server 2008 R2 x64 platformas versijām
Faila rekvizītu |
Vērtība |
---|---|
Faila nosaukums |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
723 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
13:22 |
Platformas |
Neattiecas |
Faila nosaukums |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
721 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
13:22 |
Platformas |
Neattiecas |
Faila nosaukums |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
724 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
13:22 |
Platformas |
Neattiecas |
Faila nosaukums |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
63,632 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
08:30 |
Platformas |
Neattiecas |
Faila nosaukums |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
11,240 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
08:30 |
Platformas |
Neattiecas |
Faila nosaukums |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Faila versija |
Neattiecas |
Faila lielumu |
63,628 |
Datums (UTC) |
30-May-2014 |
Laika (UTC) |
07:59 |
Platformas |
Neattiecas |
Statuss
Korporācija Microsoft ir apstiprinājusi, ka šī problēma pastāv Microsoft produktos, kas ir minēti sadaļā "Attiecas uz".
Papildinformācija
Šis labojumfails nodrošina noformējuma izmaiņas, kas padara OCSP atbildētāja Microsoft apzinās visus sertifikātus, par kuriem šī ir spēkā:
-
Tās izsniedz CA.
-
Tie ir nav atsaukts.
-
Tie pašlaik derīguma laiku.
Atsauces
Uzziniet par terminoloģiju , kas tiek izmantota Microsoft programmatūras atjauninājumu aprakstos.