Online Responder-tjenesten returnerer ikke en deterministisk god for alle sertifikater som ikke er inkludert i listen

Symptomer

Tenk deg følgende:

  • Du har Microsoft Online Responder-tjenesten installert på en server som kjører Windows Server 2008 R2 eller Windows Server 2012 R2.

  • Serveren brukes til å konfigurere og administrere (OCSP) validering.


I dette tilfellet returnerer ikke tjenesten Online Responder deterministisk verdien god for alle sertifikater som ikke er inkludert i den sertifikater sertifikatopphevelseslisten (CRL).

Årsak

Dette problemet oppstår fordi OCSP ikke kontrollerer med kilde bekreftet at sertifikatet faktisk ble utstedt av sertifiseringsinstansen den tilsvarende. I stedet, hvis et sertifikat ikke er inkludert i listen, Online Responder-tjenesten antas det at sertifikatet er gyldig, og returnerer en verdi for godt.

Oppløsning

Hvis du vil løse dette problemet i Windows 8.1 eller Windows Server 2012 R2, kan du installere oppdatering 2967917. Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

juli 2014 Samleoppdatering for Windows RT 8.1 8.1 for Windows og Windows Server 2012 R2
Hvis du vil løse dette problemet i Windows 7 eller Windows Server 2008 R2, installerer du hurtigreparasjonen som er beskrevet i delen "Informasjon om hurtigreparasjon for" i denne artikkelen.

Før du installerer denne hurtigreparasjonen, må du konfigurere tjenesten OCSP å lese serienumre som er utstedt av sertifiseringsinstansen. Hvis du vil gjøre dette, følger du trinnene i dette avsnittet for å opprette en katalogplassering der du vil lagre filene serienummer og til å opprette registernøkler som peker til denne mappen.

Notater

  • Katalogen kan være plassert på en delt nettverksressurs eller lagret på en lokal datamaskin. Hvis du har definert en konfigurasjon av matrisen, anbefaler vi at du er vert for en mappe på en delt nettverksressurs slik at alle medlemmer i matrise kan ha "lese" tilgang til den.

  • Uansett hvor katalogen er plassert, må du kontrollere at tjenesten OCSP har lesetillatelse til mappen. Registerinnstillingene vil ikke gjelde for alle Microsoft-tilkoblede respondere som ikke er oppdatert av denne hurtigreparasjonen.

Konfigurer tjenesten OCSP

Kjør følgende trinn på datamaskinen sertifiseringsinstansen du har konfigurert tjenesten OCSP.

Trinn 1: Katalogstruktur

  1. Start Notisblokk, og deretter lime inn følgende eksempelskript i et nytt dokument:

    param(    [ValidateScript({Test-Path $_})]
    [String] $Path
    )
    pushd $Path
    dir | foreach {
    remove-item $_ -force
    }
    certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
    New-Item -type File $matches[1] | out-null
    }
    }
    popd
  2. Lagre det nye dokumentet som Certs.ps1.

  3. Opprette en katalog som er tomme filer som samsvarer med alle utstedte serienumre skal lagres.

  4. Kjør skriptet Certs.ps1. Hvis du vil gjøre dette, kjører du følgende kommando i Windows PowerShell:

    Certs.ps1 < plassering av områdekatalog opprettet i trinn 3 >

  5. Undersøk mappen du opprettet i trinn 3 for å kontrollere at filene tilsvarer utstedte serienumre.

    Obs! Hvis du har flere sertifiseringsinstanser som er vert for ditt miljø, kontroller at deres tilsvarende serienummeret kataloger er forskjellige. Ikke del den samme mappen mellom forskjellige sertifiseringsinstanser.

  6. Kjører skriptet på CA-datamaskin, og Last opp den lagrede filen ved å gi den restriktive ACLer. Filen kan ikke være redigerbar. Kontroller at alle Microsoft Online Responder datamaskinene har tilgang til denne plasseringen.

Hvis du vil ha mer informasjon om denne fremgangsmåten

Microsoft Online Responder returnerer en verdi, ukjent for alle sertifikater som er utstedt, men ennå ikke er i filen som er opprettet i trinn 6. Dette skriptet må kjøres med jevne mellomrom og oppdatert for at Microsoft Online Responder til å gi en oppdatert status. Denne innstillingen er avhengig av bestemte distribusjonsmiljøet. Vi anbefaler at du velger en passende intervall hvor som helst fra fire timer til verdien for den neste CRL publisering dato.

Trinn 2: registeret

Advarsel Det kan oppstå alvorlige problemer hvis du endrer registeret feilaktig ved å bruke Registerredigering eller en annen metode. Disse problemene kan kreve at du installerer operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Endre registret på eget ansvar.

  1. Avslutt alle Windows-programmer.

  2. Klikk Start, klikk Kjør, Skriv inn regedit, og klikk deretter OK.

  3. Finn og velg følgende undernøkkel i registret:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder

  4. Velg sertifiseringsinstansen (CA) som du opprettet i mappestrukturen.

  5. Høyreklikk Leverandørnode, velg Ny, og klikk deretter Multistrengverdi.

  6. Skriv inn IssuedSerialNumbersDirectories, og trykk deretter Enter.

  7. Høyreklikk IssuedSerialNumbersDirectories, og klikk deretter Endre.

  8. I Verdidata -boksen skriver du inn banen til mappen du opprettet i trinn 3 i fremgangsmåten for directory-struktur, og som inneholder utstedte serienumrene, og klikk deretter OK.

    Bane til katalogen, bruker du følgende format:


    \\<computername>\<directorylocation>Bruk for eksempel en bane som ligner på følgende:


    \\contoso-ocspfileserver\SerialNumbers

  9. Klikk Avslutt for å avslutte Registerredigering på fil -menyen.

  10. Installere hurtigreparasjonspakken som er nevnt i denne artikkelen.

Når du følger "Katalogstrukturen" og "Register" trinnene, må du installere hurtigreparasjonspakken som er nevnt i denne artikkelen.

Resultater

Når hurtigreparasjonen er installert, må tjenesten Online Responder gjør du følgende:

  • Returner en verdi av god etter sertifikater som er bekreftet

  • Returner en verdi av TILBAKEKALTE for sertifikater som er inkludert i listen

  • Returner en verdi av ukjent for alle andre sertifikater ikke kan bekreftes

Informasjon om hurtigreparasjon

En støttet hurtigreparasjon er tilgjengelig fra Microsoft Support. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har problemet som er beskrevet i denne artikkelen. Denne hurtigreparasjonen kan gjennomgå ytterligere testing. Hvis du ikke er alvorlig påvirket av dette problemet, anbefaler vi derfor at du venter på neste programvareoppdatering som inneholder denne hurtigreparasjonen.

Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreparasjoner tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du kontakte Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.

Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:

Obs! "Nedlasting av hurtigreparasjoner tilgjengelig"-skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.

Forutsetninger

Hvis du vil bruke denne hurtigreparasjonen, må du ha for Windows 7 eller Windows Server 2008 R2 er installert.

Krav om omstart

Du har ikke datamaskinen på nytt etter at du har installert denne hurtigreparasjonen.

Informasjon om erstatning av hurtigreparasjoner

Denne hurtigreparasjonen erstatter ikke andre oppdateringer.

Den engelskspråklige (USA) versjonen av denne hurtigreparasjonen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid sammen med din gjeldende tidsforskjell for sommertid (DST). I tillegg kan til datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.

Informasjon om Windows 7 og Windows Server 2008 R2 og notaterViktig Hurtigreparasjoner for Windows 7 og Windows Server 2008 R2 hurtigreparasjoner er inkludert i de samme pakkene. Hurtigreparasjoner på siden Be om hurtigreparasjonen er imidlertid oppført under begge operativsystemene. Hvis du vil be om hurtigreparasjonspakken som gjelder ett eller begge operativsystemene, kan du velge hurtigreparasjonen som er oppført under "Windows 7/Windows Server 2008 R2" på siden. Se delen "Gjelder for" i artiklene for å fastslå det faktiske operativsystemet som gjelder hver hurtigreparasjon for alltid.

  • Filene som gjelder for et bestemt produkt, SR_Level (RTM, SPn) og avdeling (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene, som vist i følgende tabell.

    Versjon

    Produkt

    SR_Level

    Avdeling

    6.1.760
    1. 22xxx

    Windows 7 og Windows Server 2008 R2

    SP1

    LDR

  • GDR-grener inneholder bare de reparasjonene som er bredt publikum for å løse omfattende, kritiske problemer. LDR-avdelinger inneholder hurtigreparasjoner i tillegg til mye utgis.

  • MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "Mer Filinformasjon for Windows 7 og Windows Server 2008 R2". MUM- og MANIFEST-filer og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er det svært viktig å vedlikeholde statusen for de oppdaterte komponentene. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.

For alle støttede x86-baserte versjoner av Windows 7

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Plattform

SP-krav

Avdeling

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Ingen

Ikke tilgjengelig

Ocsprevp.dll

6.1.7601.22705

151,552

30-May-2014

07:35

x86

SPR

X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

For alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2

Filnavn

Filversjon

Filstørrelse

Dato

Tid

Plattform

SP-krav

Avdeling

Certadm.dll

6.1.7601.22705

419,840

30-May-2014

08:00

x64

Ingen

Ikke tilgjengelig

Ocsprevp.dll

6.1.7601.22705

184,832

30-May-2014

08:00

x64

SPR

AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Ingen

Ikke tilgjengelig

Mer filinformasjon for Windows 7 og Windows Server 2008 R2

Tilleggsfiler for alle støttede x86-baserte versjoner av Windows 7

Filegenskapen

Verdi

Filnavn

X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

720

Dato (UTC)

30-May-2014

Tid (UTC)

13:22

Plattform

Ikke tilgjengelig

Filnavn

X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

719

Dato (UTC)

30-May-2014

Tid (UTC)

13:22

Plattform

Ikke tilgjengelig

Filnavn

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

63,628

Dato (UTC)

30-May-2014

Tid (UTC)

07:59

Plattform

Ikke tilgjengelig

Filnavn

X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

11,236

Dato (UTC)

30-May-2014

Tid (UTC)

08:00

Plattform

Ikke tilgjengelig

Tilleggsfiler for alle støttede x64-baserte versjoner av Windows 7 og Windows Server 2008 R2

Filegenskapen

Verdi

Filnavn

Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

723

Dato (UTC)

30-May-2014

Tid (UTC)

13:22

Plattform

Ikke tilgjengelig

Filnavn

Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

721

Dato (UTC)

30-May-2014

Tid (UTC)

13:22

Plattform

Ikke tilgjengelig

Filnavn

Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

724

Dato (UTC)

30-May-2014

Tid (UTC)

13:22

Plattform

Ikke tilgjengelig

Filnavn

Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

63,632

Dato (UTC)

30-May-2014

Tid (UTC)

08:30

Plattform

Ikke tilgjengelig

Filnavn

Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

11,240

Dato (UTC)

30-May-2014

Tid (UTC)

08:30

Plattform

Ikke tilgjengelig

Filnavn

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Filversjon

Ikke tilgjengelig

Filstørrelse

63,628

Dato (UTC)

30-May-2014

Tid (UTC)

07:59

Plattform

Ikke tilgjengelig


Status

Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".

Hvis du vil ha mer informasjon

Denne hurtigreparasjonen inneholder en endring i utformingen som gjør Microsoft OCSP Responder klar over alle sertifikater om hvilke av følgende er sant:

  • De er utstedt av Sertifiseringsinstansen.

  • De er ikke opphevet.

  • De er i sine egne gyldighetsperioden.

Referanser

Lær mer om som Microsoft bruker til å beskrive oppdateringer av programvare.

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×