Twee verbeteringen zijn beschikbaar die verkort de tijd die nodig is voor SCEP-certificaten beheren met behulp van de Network Device Enrollment Service in Windows Server 2008

Van toepassing: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

Symptomen


In Windows Server 2008 probeert u SCEP Simple Certificate Enrollment Protocol () om certificaten te beheren met behulp van de Network Device Enrollment Service (NDES). De NDES wordt geïnstalleerd als onderdeel van certificaatservices in Windows Server 2008. In dit scenario treden de volgende problemen op:

Probleem 1

Wachtwoorden kunnen niet opnieuw worden gebruikt tussen apparaten.

Op basis van de SCEP-protocol, is een apparaat voor het verzenden van een wachtwoord wanneer dit voor de eerste keer een certificaat bij een SCEP-server aanvraagt vereist. De SCEP-server verleent een certificaat na de validatie van het wachtwoord.

Het proces waarbij de SCEP-server een certificaat verleent na de validatie van het wachtwoord is als volgt:
  1. De beheerder zich aanmeldt bij een website voor SCEP-beheer en een wachtwoord vraagt.
  2. De SCEP-server genereert een willekeurig wachtwoord in de cache opgeslagen en wordt vervolgens het wachtwoord voor de systeembeheerder.
  3. Op het apparaat configureert de beheerder het wachtwoord.
  4. Het apparaat verzendt dit wachtwoord in de eerste aanvraag voor een certificaat.

    Opmerking Dit wachtwoord verloopt in 60 minuten.
  5. De server verleent het certificaat en vervolgens het wachtwoord verwijderd uit de cache. Het wachtwoord kan niet meer worden gebruikt door andere apparaten.
Probleem 2

SCEP-certificaten kunnen niet worden ingeschreven automatisch vervallen.

Door deze twee problemen duurt beheerders lang verzoek wachtwoorden voor alle apparaten en SCEP certificaten op hen van toepassing.

Oplossing


Deze twee problemen oplossen door hotfix 959193 hebt geïnstalleerd. Deze hotfix bevat de volgende twee functies:

1 verbetering

Nadat u deze hotfix hebt toegepast, kunnen wachtwoorden tussen apparaten worden hergebruikt. Het nieuwe proces voor het beheren van wachtwoorden is als volgt:
  1. De server SCEP bevestigt de registerinstelling voor de "Één wachtwoord" modus. In deze modus een hoofdwachtwoord gemaakt en opgeslagen in het register met behulp van gecodeerde gegevens. De master-wachtwoord verloopt nooit.
  2. Een beheerder zich aanmeldt bij een website voor SCEP-beheer en een wachtwoord vraagt. De master-wachtwoord wordt geleverd.
  3. Op het apparaat configureert de beheerder het wachtwoord. Omdat het wachtwoord hetzelfde voor alle apparaten is en omdat deze nooit verloopt, kan de beheerder een script voor de implementatie van het wachtwoord op alle apparaten eenvoudig schrijven.
1 verbetering van de gebruikerservaring inschakelen

Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 het back-up maken en het register terugzetten in Windows

Als u deze functie inschakelt, maakt u de volgende registervermelding:
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

Opmerking Als u NDES worden uitgevoerd onder de netwerkserviceaccount, moet u de machtiging Volledig beheer aan de account 'Network Service' onder de volgende registersubsleutel verlenen: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Verbetering 2

Certificaten kunnen worden ingeschreven automatisch vervallen. Deze functie wordt automatisch ingeschakeld nadat u de hotfix hebt geïnstalleerd.

Standaard wanneer u vernieuwen van een certificaat aanvraagt met behulp van deze functie, moet het certificaat van de ondertekenaar hebben dezelfde naam en alternatieve naam als het aangevraagde certificaat. Om te omzeilen deze eis, de waarde van de registervermelding DisableRenewalSubjectNameMatch onder de volgende subsleutel te ingesteld op 1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

Opmerking U moet deze registervermelding maken met behulp van type REG_DWORD als de registervermelding niet bestaat.

Informatie over de hotfix

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop de in dit artikel beschreven problemen zich voordoen. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.

Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.

Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:Opmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.

Belangrijke hotfixes voor Windows Vista en Windows Server 2008 worden opgenomen in dezelfde pakketten. Slechts één van deze producten kan echter worden vermeld op de pagina ' Hotfix '. Als u het hotfix-pakket voor Windows Vista en Windows Server 2008, selecteert u het product dat wordt vermeld op de pagina.

Vereisten

Er zijn geen vereisten.

Opnieuw opstarten

U moet de computer opnieuw opstarten nadat u deze hotfix hebt toegepast.

Informatie over het vervangen van hotfixes

Deze hotfix vervangt geen andere hotfixes.

Bestandsinformatie

De Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Om het verschil tussen UTC en lokale tijd op te zoeken, gebruikt u het tabblad tijdzone in het onderdeel datum en tijd in het Configuratiescherm.
Opmerkingen over bestandsinformatie in Windows Server 2008
De manifest-bestanden en de .mum-bestanden die worden geïnstalleerd in elke omgeving worden afzonderlijk vermeld in de sectie 'Aanvullende bestandsinformatie voor Windows Server 2008 '. Deze bestanden en de bijbehorende beveiligingscatalogusbestanden ()-bestanden zijn van cruciaal belang voor het statusbeheer van het bijgewerkte onderdeel. De CAT-bestanden zijn ondertekend met een digitale handtekening van Microsoft. De kenmerken van deze security-bestanden worden niet weergegeven.

Voor alle ondersteunde versies van Windows Server 2008 op basis van x86
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
Voor alle ondersteunde versies van Windows Server 2008 op basis van x64
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

Status


Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie


Ga naar de volgende Internet-concepten Web site (IETF)-website voor meer informatie over SCEP:

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Opmerking dat dit document verloopt op 25 juli 2009. Zoek naar "SCEP" op de introductiepagina van de website voor informatie na deze datum.

Microsoft biedt contactinformatie van derden om u te helpen technische ondersteuning te vinden. Deze contactinformatie kan zonder kennisgeving worden gewijzigd. Microsoft garandeert niet de juistheid van deze contactinformatie van derden.


Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

824684 beschrijving van de standaardterminologie die wordt gebruikt om software-updates voor Microsoft te beschrijven


Aanvullende bestandsinformatie voor Windows Server 2008

Voor alle ondersteunde versies van Windows Server 2008 op basis van x86
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumNiet van toepassing13,17218-Jan-200901:10Niet van toepassing
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mumNiet van toepassing1,42318-Jan-200901:10Niet van toepassing
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumNiet van toepassing13,64718-Jan-200901:10Niet van toepassing
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mumNiet van toepassing1,43118-Jan-200901:10Niet van toepassing
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifestNiet van toepassing43,47517-Jan-200907:10Niet van toepassing
Voor alle ondersteunde versies van Windows Server 2008 op basis van x64
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifestNiet van toepassing43,50517-Jan-200909:42Niet van toepassing
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNiet van toepassing13,28418-Jan-200901:10Niet van toepassing
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumNiet van toepassing1,43118-Jan-200901:10Niet van toepassing
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumNiet van toepassing13,76318-Jan-200901:10Niet van toepassing
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mumNiet van toepassing1,43918-Jan-200901:10Niet van toepassing