Symptomer
Tenk deg følgende:
-
Du har Microsoft Online Responder-tjenesten installert på en server som kjører Windows Server 2008 R2 eller Windows Server 2012 R2.
-
Serveren brukes til å konfigurere og administrere Online Certificate Status Protocol (OCSP) validering.
I dette tilfellet returnerer ikke tjenesten Online Responder deterministisk verdien god for alle sertifikater som ikke er inkludert i den sertifikater sertifikatopphevelseslisten (CRL).
Årsak
Dette problemet oppstår fordi OCSP ikke kontrollerer med kilde bekreftet at sertifikatet faktisk ble utstedt av sertifiseringsinstansen den tilsvarende. I stedet, hvis et sertifikat ikke er inkludert i listen, Online Responder-tjenesten antas det at sertifikatet er gyldig, og returnerer en verdi for godt.
Oppløsning
Hvis du vil løse dette problemet i Windows 8.1 eller Windows Server 2012 R2, kan du installere oppdatering 2967917. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
2967917 juli 2014 Samleoppdatering for Windows RT 8.1 8.1 for Windows og Windows Server 2012 R2 Hvis du vil løse dette problemet i Windows 7 eller Windows Server 2008 R2, installerer du hurtigreparasjonen som er beskrevet i delen "Informasjon om hurtigreparasjon for" i denne artikkelen. Før du installerer denne hurtigreparasjonen, må du konfigurere tjenesten OCSP å lese serienumre som er utstedt av sertifiseringsinstansen. Hvis du vil gjøre dette, følger du trinnene i dette avsnittet for å opprette en katalogplassering der du vil lagre filene serienummer og til å opprette registernøkler som peker til denne mappen. Notater
-
Katalogen kan være plassert på en delt nettverksressurs eller lagret på en lokal datamaskin. Hvis du har definert en konfigurasjon av matrisen, anbefaler vi at du er vert for en mappe på en delt nettverksressurs slik at alle medlemmer i matrise kan ha "lese" tilgang til den.
-
Uansett hvor katalogen er plassert, må du kontrollere at tjenesten OCSP har lesetillatelse til mappen. Registerinnstillingene vil ikke gjelde for alle Microsoft-tilkoblede respondere som ikke er oppdatert av denne hurtigreparasjonen.
Konfigurer tjenesten OCSP
Kjør følgende trinn på datamaskinen sertifiseringsinstansen du har konfigurert tjenesten OCSP.
Trinn 1: Katalogstruktur
-
Start Notisblokk, og deretter lime inn følgende eksempelskript i et nytt dokument:
param( [ValidateScript({Test-Path $_})]
[String] $Path ) pushd $Path dir | foreach { remove-item $_ -force } certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach { if($_ -match 'Serial Number: "([^"]+)"') { New-Item -type File $matches[1] | out-null } } popd -
Lagre det nye dokumentet som Certs.ps1.
-
Opprette en katalog som er tomme filer som samsvarer med alle utstedte serienumre skal lagres.
-
Kjør skriptet Certs.ps1. Hvis du vil gjøre dette, kjører du følgende kommando i Windows PowerShell:
Certs.ps1 < plassering av områdekatalog opprettet i trinn 3 >
-
Undersøk mappen du opprettet i trinn 3 for å kontrollere at filene tilsvarer utstedte serienumre.
Obs! Hvis du har flere sertifiseringsinstanser som er vert for ditt miljø, kontroller at deres tilsvarende serienummeret kataloger er forskjellige. Ikke del den samme mappen mellom forskjellige sertifiseringsinstanser. -
Kjører skriptet på CA-datamaskin, og Last opp den lagrede filen ved å gi den restriktive ACLer. Filen kan ikke være redigerbar. Kontroller at alle Microsoft Online Responder datamaskinene har tilgang til denne plasseringen.
Hvis du vil ha mer informasjon om denne fremgangsmåten
Microsoft Online Responder returnerer en verdi, ukjent for alle sertifikater som er utstedt, men ennå ikke er i filen som er opprettet i trinn 6. Dette skriptet må kjøres med jevne mellomrom og oppdatert for at Microsoft Online Responder til å gi en oppdatert status. Denne innstillingen er avhengig av bestemte distribusjonsmiljøet. Vi anbefaler at du velger en passende intervall hvor som helst fra fire timer til verdien for den neste CRL publisering dato.
Trinn 2: registeret
Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feilaktig ved å bruke Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Endre registret på eget ansvar.
-
Avslutt alle Windows-programmer.
-
Klikk Start, klikk Kjør, Skriv inn regedit, og klikk deretter OK.
-
Finn og velg følgende undernøkkel i registret:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Velg sertifiseringsinstansen (CA) som du opprettet i mappestrukturen.
-
Høyreklikk Leverandørnode, velg Ny, og klikk deretter Multistrengverdi.
-
Skriv inn IssuedSerialNumbersDirectories, og trykk deretter Enter.
-
Høyreklikk IssuedSerialNumbersDirectories, og klikk deretter Endre.
-
I Verdidata -boksen skriver du inn banen til mappen du opprettet i trinn 3 i fremgangsmåten for directory-struktur, og som inneholder utstedte serienumrene, og klikk deretter OK.
Bane til katalogen, bruker du følgende format:\\<computername>\<directorylocation>Bruk for eksempel en bane som ligner på følgende:
\\contoso-ocspfileserver\SerialNumbers
-
Klikk Avslutt for å avslutte Registerredigering på fil -menyen.
-
Installere hurtigreparasjonspakken som er nevnt i denne artikkelen.
Når du følger "Katalogstrukturen" og "Register" trinnene, må du installere hurtigreparasjonspakken som er nevnt i denne artikkelen.
Resultater
Når hurtigreparasjonen er installert, må tjenesten Online Responder gjør du følgende:
-
Returner en verdi av god etter sertifikater som er bekreftet
-
Returner en verdi av TILBAKEKALTE for sertifikater som er inkludert i listen
-
Returner en verdi av ukjent for alle andre sertifikater ikke kan bekreftes
Informasjon om hurtigreparasjon
En støttet hurtigreparasjon er tilgjengelig fra Microsoft Support. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har problemet som er beskrevet i denne artikkelen. Denne hurtigreparasjonen kan gjennomgå ytterligere testing. Hvis du ikke er alvorlig påvirket av dette problemet, anbefaler vi derfor at du venter på neste programvareoppdatering som inneholder denne hurtigreparasjonen.
Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreparasjoner tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du kontakte Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen. Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:http://support.microsoft.com/contactus/?ws=supportObs! "Nedlasting av hurtigreparasjoner tilgjengelig"-skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.
Forutsetninger
Hvis du vil bruke denne hurtigreparasjonen, må du ha Service Pack 1 for Windows 7 eller Windows Server 2008 R2 er installert.
Krav om omstart
Du har ikke datamaskinen på nytt etter at du har installert denne hurtigreparasjonen.
Informasjon om erstatning av hurtigreparasjoner
Denne hurtigreparasjonen erstatter ikke andre oppdateringer.
Den engelskspråklige (USA) versjonen av denne hurtigreparasjonen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid sammen med din gjeldende tidsforskjell for sommertid (DST). I tillegg kan til datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.
Informasjon om Windows 7 og Windows Server 2008 R2 og notaterViktig Hurtigreparasjoner for Windows 7 og Windows Server 2008 R2 hurtigreparasjoner er inkludert i de samme pakkene. Hurtigreparasjoner på siden Be om hurtigreparasjonen er imidlertid oppført under begge operativsystemene. Hvis du vil be om hurtigreparasjonspakken som gjelder ett eller begge operativsystemene, kan du velge hurtigreparasjonen som er oppført under "Windows 7/Windows Server 2008 R2" på siden. Se delen "Gjelder for" i artiklene for å fastslå det faktiske operativsystemet som gjelder hver hurtigreparasjon for alltid.
-
Filene som gjelder for et bestemt produkt, SR_Level (RTM, SPn) og avdeling (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene, som vist i følgende tabell.
Versjon
Produkt
SR_Level
Avdeling
6.1.760
1. 22xxxWindows 7 og Windows Server 2008 R2
SP1
LDR
-
GDR-grener inneholder bare de reparasjonene som er bredt publikum for å løse omfattende, kritiske problemer. LDR-avdelinger inneholder hurtigreparasjoner i tillegg til mye utgis.
-
MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "Mer Filinformasjon for Windows 7 og Windows Server 2008 R2". MUM- og MANIFEST-filer og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er det svært viktig å vedlikeholde statusen for de oppdaterte komponentene. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
For alle støttede x86-baserte versjoner av Windows 7
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
SP-krav |
Avdeling |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ingen |
Ikke tilgjengelig |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
For alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
SP-krav |
Avdeling |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Ingen |
Ikke tilgjengelig |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ingen |
Ikke tilgjengelig |
Mer filinformasjon for Windows 7 og Windows Server 2008 R2
Tilleggsfiler for alle støttede x86-baserte versjoner av Windows 7
Filegenskapen |
Verdi |
---|---|
Filnavn |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
720 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
13:22 |
Plattform |
Ikke tilgjengelig |
Filnavn |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
719 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
13:22 |
Plattform |
Ikke tilgjengelig |
Filnavn |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
63,628 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
07:59 |
Plattform |
Ikke tilgjengelig |
Filnavn |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
11,236 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
08:00 |
Plattform |
Ikke tilgjengelig |
Tilleggsfiler for alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2
Filegenskapen |
Verdi |
---|---|
Filnavn |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
723 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
13:22 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
721 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
13:22 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
724 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
13:22 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
63,632 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
08:30 |
Plattform |
Ikke tilgjengelig |
Filnavn |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
11,240 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
08:30 |
Plattform |
Ikke tilgjengelig |
Filnavn |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Filversjon |
Ikke tilgjengelig |
Filstørrelse |
63,628 |
Dato (UTC) |
30-May-2014 |
Tid (UTC) |
07:59 |
Plattform |
Ikke tilgjengelig |
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Hvis du vil ha mer informasjon
Denne hurtigreparasjonen inneholder en endring i utformingen som gjør Microsoft OCSP Responder klar over alle sertifikater om hvilke av følgende er sant:
-
De er utstedt av Sertifiseringsinstansen.
-
De er ikke opphevet.
-
De er i sine egne gyldighetsperioden.
Referanser
Lær mer om terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.