Et automatiske oppdateringer av ikke-klarerte sertifikater er tilgjengelig for Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2

INTRODUKSJON

Et automatiske oppdateringer av ikke-klarerte sertifikater er tilgjengelig for Windows Vista, Windows Server 2008, Windows 7 og Windows Server 2008 R2. Denne updater bygger på eksisterende rot automatisk oppdatering mekanismen teknologien som finnes i Windows Vista og i Windows 7 for å la sertifikater som er utsatt eller er upålitelig på noen måte være spesielt flagget som ikke er klarert.

En sertifikatklareringsliste (CTL) er en forhåndsdefinert liste over elementer som er signert av en klarert enhet. Alle elementene i listen er godkjent og godkjent av en klarert enhet for signering. Denne oppdateringen utvider på denne eksisterende funksjonalitet ved å legge til kjente ikke klarerte sertifikater i sertifikatlageret uklarerte ved hjelp av en sertifikatklareringsliste (CTL) som inneholder deres fellesnøkkel eller deres signatur hash-kode. Når denne oppdateringen er installert, kunder dra nytte av rask automatiske oppdateringer av ikke-klarerte sertifikater.

Brukere som har koblet systemer vil ikke dra nytte av denne funksjonen forbedring. Disse kundene må fremdeles installere root certificate oppdateringer når de blir gjort tilgjengelige. Se delen "Mer informasjon".


Som en del av denne oppdateringen, blir URL-adressene som brukes til å kontakte Windows Update for å laste ned de ikke er klarert og pålitelig CTLer ble endret. Dette kan forårsake problemer for bedrifter som hardcode disse URL-adressene i sine brannmurer som unntak.

Dette er de nye URL-adressene:

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab

http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Hvis du vil ha mer informasjon

Brukere som har koblet systemer kan installere denne oppdateringen. Men disse brukerne mottar ikke en fordel fra oppdateringen. Faktisk installere denne oppdateringen kan føre til at tjenesten oppstartsfeil umiddelbart etter at serveren er startet på nytt. Tjenester som utfører oppgaver for validering av sertifikat under oppstart av tjenesten kan oppleve en økt forsinkelse mens nettverkshenting av klarerte og ikke-klarerte CTLer fra Windows Update er forsøkt.

For systemer som kjører Windows Vista, Windows 7, Windows Server 2008 eller Windows Server 2008 R2 og som bruker den automatiske oppdateringer av ikke-klarerte sertifikater (det vil si at enten KB 2677070 eller KB 2813430 allerede er installert), kan du se resten av denne delen, og også Microsoft Knowledge Base-artikkel 2813430 for mer informasjon. Kundene trenger ikke å gjøre noe fordi disse systemene blir automatisk beskyttet.

Hvis systemet ikke har tilgang til Windows Update, fordi systemet ikke er koblet til Internett, eller fordi Windows Update er blokkert ved å brannmurregler for nettverkshenting vil tidsavbrudd før tjenesten kan fortsette sin oppstart. I noen tilfeller kan overskride tidsavbrudd for henting av dette nettverket tidsavbruddet for oppstart for service på 30 sekunder. Hvis en tjeneste ikke rapporterer at oppstart er fullført etter 30 sekunder, stopper tjenesten i Tjenestekontrollbehandling (SCM).

Hvis du ikke kan unngå å installere denne oppdateringen på systemer som er frakoblet, kan du deaktivere nettverkshenting av klarerte og ikke-klarerte-CTLer. Hvis du vil gjøre dette, kan du deaktivere automatisk rot oppdateringer ved hjelp av innstillingene for gruppepolicy. Hvis du vil deaktivere automatisk rot-oppdateringer ved hjelp av policyinnstillingene, gjør du følgende:

1. Opprett en gruppepolicy eller endre en eksisterende gruppepolicy i redigeringsprogram for lokal gruppepolicy.

2. I Local Group Policy Editor, dobbeltklikk policyer under noden Datamaskinkonfigurasjon .

3. Dobbeltklikk Windows-innstillinger, dobbeltklikker du Sikkerhetsinnstillingene, og dobbeltklikk deretter Fellesnøkkelpolicyer.

4. I detaljruten dobbeltklikker du Innstillinger for sertifikatbanevalidering.

5. Klikk kategorien Nettverkshenting , velger du Definer disse policyinnstillingene, og fjern deretter merket for Oppdater sertifikater automatisk i Microsofts rotsertifikatprogram (anbefales) .

6. Klikk OK, og lukk deretter redigeringsprogrammet for lokal gruppepolicy.

Når du foretar denne endringen, er roten for automatiske oppdateringer deaktivert på disse systemene policyen er aktivert. Vi anbefaler at policyen bare brukes på disse systemene som ikke har Internett-tilgang, eller som er forhindret fra å få tilgang til Windows Update på grunn av brannmurregler.

Hvis roten for automatiske oppdateringer er deaktivert, må administratorer manuelt administrere rotsertifikater som er klarert av Windows. Klarert rot sertifikater kan bli distribuert til datamaskiner som kjører Windows ved hjelp av gruppepolicy. Hvis du vil ha mer informasjon om hvordan du administrerer rotsertifikater som er klarert av Windows, kan du gå til følgende Microsoft-webområde:

http://technet.microsoft.com/en-us/library/cc754841.aspxHvis du vil ha mer informasjon om Windows-sertifikatgodkjenning for klarering, kan du gå til følgende websider for Microsoft:

Sertifikatgodkjenning for klarering

Sertifikat klarert liste-oversiktHvis du vil ha mer informasjon om Windows-rotsertifikatprogram, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

931125 Medlemmer av Windows rotsertifikatprogram

Nedlastingsinformasjon

Følgende filer er tilgjengelige for nedlasting fra Microsoft Download Center.

Filinformasjon

Last ned Filinformasjon for denne oppdateringen 2677070for en liste over filene som finnes i denne oppdateringen.