Beschrijving van de beveiliging alleen update voor .NET Framework 3.5.1 voor Windows 7 Service Pack 1 en Service Pack 1 voor Windows Server 2008 R2: 9 mei 2017

Waarschuwing

Er kunnen ernstige problemen optreden als u het register onjuist bewerkt met behulp van de Register-Editor of met een andere methode. Wellicht moet u als gevolg van deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.

• Uitgebreid sleutelgebruik (EKU) wordt beschreven in RFC 5280 in de sectie 4.2.1.12: deze uitbreiding geeft een of meer doelen voor de gecertificeerde openbare sleutel kan worden gebruikt in aanvulling op of in plaats van de algemene doeleinden die zijn aangegeven in de uitbreiding voor sleutelgebruik. Bijvoorbeeld: een certificaat dat gebruikt voor de verificatie van een client naar een server moet worden geconfigureerd voor verificatie van de Client. Op dezelfde manier een certificaat dat gebruikt voor de verificatie van een server moet worden geconfigureerd voor serververificatie.
  
  Wanneer certificaten worden gebruikt voor verificatie, raadpleegt de verificator de client certificate en gezocht naar het juiste doel object-id in toepassingenbeleid extensies. De object-id voor clientverificatie is 1.3.6.1.5.5.7.3.2. Wanneer een certificaat voor clientverificatie wordt gebruikt, moet deze object-id aanwezig zijn in de EKU-extensies van het certificaat of de verificatie mislukt. Certificaten hebben geen EKU-extensie blijven goedkunnen verifiëren.
  
  Als u geen juist uitgegeven certificaten tijdelijk openen, kunt u opt-in- of de beveiliging wijzigen voor alle computerbewerkingen om te voorkomen dat de mogelijke gevolgen voor de connectiviteit. Geef hiervoor de volgende registersleutel de belangrijkste instellingen, afhankelijk van welke .NET Framework -versie is gericht op uw appToepassingsinstellingen .
  
  Methode 1: Bijwerken registersleutel (beschikbaar voor alle versies)
  
  Opmerking Deze registervermelding moet een DWORD-vermelding.
  

  • Voor 32-bits op 32-bits en 64-bits proces op 64-bits:
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  • Voor 32-bits proces op 64-bits:
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  U kunt ook een opt-out op basis van deToepassingsinstellingen per app. De volgende opties zijn beschikbaar voor het uitschakelen van deze wijziging Zorg ervoor dat appToepassingsinstellingen compatibiliteit wordt gehandhaafd.
  
  Methode 2: Het beleid voor afzonderlijke toepassingen uitschakelen
  
  Opmerking Tzijn register moet een DWORD-vermelding. De enige geldige waarde is 0. Elke andere waarde is genegeerd.

  • Voor 32-bits op 32-bits en 64-bits proces op 64-bits:

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • Voor 32-bits proces op 64-bits:

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  Methode 3: gebruik van configuratie-API (die beschikbaar is voor .NET Framework 4.6 en hoger)
  
  Vanaf in de .NET Framework 4.6, kunt u de configuratie op het niveau van een toepassing via code, een configuratie van toepassing, of wijzigingen in het register wijzigen.
  
  De schakeloptie in configureren.NET Framework 4.6
  
  Opmerking De volgende voorbeelden uitschakelen het beveiligingsonderdeel.

  • Programmatically
    
    Allereerst de toepassing moet doen is de volgende code worden uitgevoerd. Dit komt doordat slechts één keer worden geïnitialiseerds servicebeheer punt.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Application configuration
    
    Als u de toepassingsconfiguratie, de volgende vermelding toevoegen:
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • Registersleutel (globale machine):
    

    Registry location: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    Type: Tekenreeks
    Waarde: "true"

  Opmerking Switch.System.Net.DontCheckCertificateEKUsName standaard voor alle .NET Framework 4 = True . x toepassingen die worden uitgevoerd op het .NET Framework 4.6 en hoger.

• Voor meer informatie over deze beveiligingsupdate met betrekking tot Windows 7 Service Pack 1 en Service Pack 1 voor Windows Server 2008 R2, raadpleegt u het volgende artikel in de Microsoft Knowledge Base:

  4019108 beveiliging alleen update voor .NET Framework 3.5.1, 4.5.2 4.6, 4.6.1 en 4.6.2 updates voor Windows 7 Service Pack 1 en Service Pack 1 voor Windows Server 2008 R2: 9 mei 2017