To forbedringer er tilgjengelige som forkorter tiden som kreves for å behandle sertifikater for SCEP ved hjelp av nettverket enheten registrering-tjenesten i Windows Server 2008

Gjelder: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

Symptomer


I Windows Server 2008 prøver du å behandle sertifikater for enkel sertifikat sertifikatregistrering Protocol (SCEP) ved hjelp av nettverket enheten registrering Service (NDES). NDES er installert som en del av sertifikattjenester i Windows Server 2008. I dette scenariet kan du oppleve følgende problemer:

Problem 1

Passord kan ikke brukes på nytt mellom enheter.

Basert på SCEP-protokollen, for en enhet å sende et passord når den ber om et sertifikat fra en SCEP-server for første gang. SCEP serveren utsteder et sertifikat etter validere passordet.

Behandle SCEP serveren utsteder et sertifikat etter validere passordet er som følger:
  1. Systemansvarlige logger på et webområde for administrasjon av SCEP og ber om et passord.
  2. SCEP serveren genererer et tilfeldig passord, lagres i hurtigbufferen, og viser deretter passordet til administrator.
  3. Administratoren konfigurerer passordet på enheten.
  4. Enheten sender dette passordet i den første forespørselen om et sertifikat.

    Obs! Dette passordet utløper i 60 minutter.
  5. Serveren utsteder sertifikatet, og deretter fjerner passordet fra hurtigbufferen. Passordet kan ikke lenger brukes av andre enheter.
Problem 2

SCEP sertifikater ikke re-enrolled automatisk når de utløper.

På grunn av disse to problemene, kan det ta administratorer lang tid til å be om passord for alle enheter, og å bruke sertifikater for SCEP.

Oppløsning


Disse to problemene kan løses ved å installere hurtigreparasjon 959193. Denne hurtigreparasjonen innfører to følgende forbedringer:

Forbedring 1

Når du har installert denne hurtigreparasjonen, kan brukes på nytt passord mellom enheter. Den nye prosessen til å administrere passord er som følger:
  1. SCEP-serveren bekrefter registerinnstillingen for "Enkelt passord"-modus. I denne modusen er et hovedpassord opprettes og lagres i registret ved hjelp av krypterte data. Master passord utløper aldri.
  2. En administrator logger på et webområde for administrasjon av SCEP og ber om et passord. Hovedpassord er levert.
  3. Administratoren konfigurerer passordet på enheten. Fordi passordet er den samme for alle enheter, og fordi det aldri utløper, kan administratoren enkelt å skrive et skript for å distribuere passord på alle enheter.
Slik aktiverer du forbedring 1

Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Imidlertid kan oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. Ta sikkerhetskopi av registret før du endrer den ekstra beskyttelse. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 hvordan du sikkerhetskopierer og gjenoppretter registret i Windows

Hvis du vil aktivere denne funksjonen, kan du opprette følgende registernøkkel:
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

Obs! Hvis du kjører NDES under nettverkstjenestekontoen, må du gi alle tillatelser til "" nettverkstjenestekontoen under følgende registerundernøkkel: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Forbedring 2

Sertifikater kan også være re-enrolled automatisk når de utløper. Denne funksjonen aktiveres automatisk når hurtigreparasjonen er installert.

Som standard når du ber om en sertifikatfornyelse ved hjelp av denne funksjonen må signataren sertifikatet ha samme mottakernavn og alternative emnenavnet som forespurte sertifikatet. For å omgå dette kravet, kan du angi verdien for registeroppføringen DisableRenewalSubjectNameMatch under følgende undernøkkel til 1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

Obs! Du må kanskje opprette registernøkkelen ved hjelp av typen REG_DWORD hvis registeroppføringen ikke finnes.

Informasjon om hurtigreparasjon

En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har problemet som er beskrevet i denne artikkelen. Denne hurtigreparasjonen kan gjennomgå ytterligere testing. Hvis du ikke er alvorlig påvirket av dette problemet, anbefaler vi derfor at du venter på neste programvareoppdatering som inneholder denne hurtigreparasjonen.

Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreparasjoner tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du kontakte Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.

Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:Obs! "Nedlasting av hurtigreparasjoner tilgjengelig"-skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.

Viktige hurtigreparasjoner for Windows Vista og Windows Server 2008 er inkludert i de samme pakkene. Bare én av disse produktene kan imidlertid være oppført på siden "Hurtigreparasjonen Request". Hvis du vil be om hurtigreparasjonspakken som gjelder for både Windows Vista og Windows Server 2008, velger du produktet som er oppført på siden.

Forutsetninger

Det er ingen forutsetninger.

Krav om omstart

Du må starte datamaskinen på nytt etter at du har installert denne hurtigreparasjonen.

Informasjon om erstatning av hurtigreparasjoner

Denne hurtigreparasjonen erstatter ingen andre hurtigreparasjoner.

Filinformasjon

Den engelskspråklige versjonen av denne hurtigreparasjonen har filattributtene (eller senere filattributter) som er oppført i følgende tabell. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, kan du bruke kategorien tidssone under dato og klokkeslett i Kontrollpanel.
Filinformasjonsmerknader for Windows Server 2008
MANIFEST-filene og MUM-filene som installeres for hvert miljø, er oppført separat i delen "informasjon om tilleggsfiler for Windows Server 2008". Disse filene og deres tilknyttede cat (sikkerhetskatalogfiler) er avgjørende for å kunne vedlikeholde status på den oppdaterte komponenten. CAT-filene signeres med en digital Microsoft-signatur. Attributtene for disse sikkerhetsfilene er ikke oppført.

For alle støttede x86-baserte versjoner av Windows Server 2008
FilnavnFilversjonFilstørrelseDatoTidPlattform
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
For alle støttede x64-baserte versjoner av Windows Server 2008
FilnavnFilversjonFilstørrelseDatoTidPlattform
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

Status


Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".

Hvis du vil ha mer informasjon


Hvis du vil ha mer informasjon om SCEP, kan du gå til følgende webområde for Internett-kladder-området (IETF):

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Vær oppmerksom på dette dokumentet vil utløpe på 25 juli 2009. Mer informasjon etter denne datoen, kan du søke etter "SCEP" på hjemmesiden for webområdet.

Microsoft tilbyr kontaktopplysninger for tredjeparter for å hjelpe deg med å finne teknisk kundestøtte. Disse kontaktopplysningene kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten av disse kontaktopplysningene for tredjeparter.


Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

824684 beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare


Mer filinformasjon for Windows Server 2008

For alle støttede x86-baserte versjoner av Windows Server 2008
FilnavnFilversjonFilstørrelseDatoTidPlattform
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumIkke tilgjengelig13,17218-Jan-200901:10Ikke tilgjengelig
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mumIkke tilgjengelig1,42318-Jan-200901:10Ikke tilgjengelig
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumIkke tilgjengelig13,64718-Jan-200901:10Ikke tilgjengelig
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mumIkke tilgjengelig1,43118-Jan-200901:10Ikke tilgjengelig
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifestIkke tilgjengelig43,47517-Jan-200907:10Ikke tilgjengelig
For alle støttede x64-baserte versjoner av Windows Server 2008
FilnavnFilversjonFilstørrelseDatoTidPlattform
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifestIkke tilgjengelig43,50517-Jan-200909:42Ikke tilgjengelig
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumIkke tilgjengelig13,28418-Jan-200901:10Ikke tilgjengelig
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumIkke tilgjengelig1,43118-Jan-200901:10Ikke tilgjengelig
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumIkke tilgjengelig13,76318-Jan-200901:10Ikke tilgjengelig
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mumIkke tilgjengelig1,43918-Jan-200901:10Ikke tilgjengelig