Symptomen
Overweeg het volgende scenario:
-
U hebt de service Microsoft Online-Responder is geïnstalleerd op een server waarop Windows Server 2008 R2 of Windows Server 2012 R2.
-
De server wordt gebruikt voor het configureren en beheren van Online Certificate Status Protocol (OCSP) validatie.
In dit geval retourneert de onlineresponderservice geen deterministic waarde van goede voor alle certificaten die niet in de certificaten certificaatintrekkingslijst (CRL opgenomen zijn).
Oorzaak
Dit probleem treedt op omdat de OCSP niet met een bevestigde bron controleert dat het certificaat daadwerkelijk is afgegeven door de desbetreffende certificeringsinstantie. In plaats daarvan als een certificaat niet in de CRL opgenomen is, de onlineresponderservice wordt ervan uitgegaan dat het certificaat geldig is en geeft als een waarde van goed resultaat.
Oplossing
Dit probleem in Windows 8.1 of Windows Server 2012 R2 oplossen door update 2967917 te installeren. Voor meer informatie klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
2967917 juli 2014 updatepakket voor Windows RT 8.1, Windows 8.1 en Windows Server 2012 R2
U lost dit probleem in Windows 7 of Windows Server 2008 R2, installeert u de hotfix die wordt beschreven in de sectie 'Hotfix informatie' in dit artikel.
Voordat u deze hotfix hebt geïnstalleerd, moet u de seriële getallen die zijn uitgegeven door de certificeringsinstantie OCSP-service configureren. Hiertoe volgt u de stappen in deze sectie voor het maken van een locatie waar u het serienummer bestanden opslaan en maken van registersleutels die naar deze map.
Opmerkingen
-
De map kan zich bevindt op een netwerkshare of ondergebracht op een lokale computer. Als u een matrixconfiguratie instelt, wordt u aangeraden de map op een netwerkshare te hosten, zodat alle leden van de array hebben "" toegang tot deze lezen kunnen.
-
Ongeacht waar de map zich bevindt, zorg dat de OCSP-service heeft de machtiging Lezen aan de directory. De instellingen in het register niet van toepassing op elk Microsoft Online-Responders die niet door deze hotfix is geïnstalleerd.
De OCSP-service configureren
Voer de volgende stappen uit op de certificeringsinstantie-computer waarvoor u de OCSP-service hebt geconfigureerd.
Stap 1: Directory-structuur
-
Start Kladblok en plak het volgende script in een nieuw document:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Sla het nieuwe document op als Certs.ps1.
-
Maak een map waarin lege bestanden die met alle uitgegeven serienummers overeenkomen worden opgeslagen zijn.
-
Voer het script Certs.ps1. Hiervoor moet u de volgende opdracht uitvoeren in Windows PowerShell:
Certs.ps1 < locatie gemaakt in stap 3 >
-
Controleer de map die u hebt gemaakt in stap 3 om ervoor te zorgen dat de bestanden met de serienummers uitgegeven overeenkomen.
Opmerking Als er meerdere CA's die worden gehost in uw omgeving, zorg dat de bijbehorende serienummer mappen verschillend zijn. Niet delen dezelfde map tussen verschillende certificeringsinstanties. -
Het script uitvoeren op de CA-computer en het opgeslagen bestand uploaden door middel van beperkende ACL's. Het bestand moet niet worden bewerkt. Zorg ervoor dat alle computers in de Microsoft Online-Responder toegang heeft tot deze locatie.
Meer informatie over deze procedure.
Microsoft Online-Responder retourneert de waarde onbekend voor alle certificaten die zijn uitgegeven, maar nog niet in het bestand dat is gemaakt in stap 6. Dit script moet worden uitgevoerd met een regelmatig interval en vernieuwd om Microsoft Online-Responder voor een actuele status. Deze instelling interval is afhankelijk van uw specifieke werkomgeving. Wij raden aan een geschikte interval te selecteren van een vier uur aan de waarde van de volgende CRL publiceren datum.
Stap 2: register
Waarschuwing Er kunnen ernstige problemen optreden als u het register onjuist bewerkt met behulp van de Register-Editor of met een andere methode. Wellicht moet u als gevolg van deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen kunnen worden opgelost. Wijzig het register op eigen risico.
-
Sluit alle Windows-toepassingen.
-
Klik op Start, klik op Uitvoeren, typ regedit en klik vervolgens op OK.
-
Zoek en selecteer de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Klik op de certificeringsinstantie (CA) waarvan u de mapstructuur gemaakt.
-
Met de rechtermuisknop op het Knooppunt van de Provider, wijs Nieuwaan en klik vervolgens op Waarde met meerdere tekenreeksen.
-
Typ IssuedSerialNumbersDirectoriesen druk op Enter.
-
Klik met de rechtermuisknop op IssuedSerialNumbersDirectoriesen klik vervolgens op wijzigen.
-
Typ in het vak Waardegegevens het pad naar de map die u hebt gemaakt in stap 3 van de procedure directory structuur en dat de verleende seriële getallen bevat en klik op OK.
Gebruik voor het pad de volgende notatie:\\<computername>\<directorylocation>Gebruik bijvoorbeeld een pad dat lijkt op het volgende:
\\contoso-ocspfileserver\SerialNumbers
-
Klik in het menu bestand op Afsluiten om de Register-Editor af te sluiten.
-
Installeer het pakket met hotfixes dat is vermeld in dit artikel.
Nadat u de 'Directory structure' en 'Register' stappen volgt, installeert u het pakket met hotfixes dat is vermeld in dit artikel.
Resultaten
Nadat de hotfix is geïnstalleerd, moet de service Onlineresponder het volgende doen:
-
Een waarde van goed voor de certificaten die worden gecontroleerd
-
Een waarde van ingetrokken voor de certificaten die zijn opgenomen in de CRL
-
Een waarde van onbekend voor alle andere certificaten kan niet worden gecontroleerd
Informatie over de hotfix
Een ondersteunde hotfix is beschikbaar bij Microsoft Support. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop de in dit artikel beschreven problemen zich voordoen. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.
Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.
Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of voor het indienen van een afzonderlijk serviceverzoek, gaat u naar de volgende Microsoft-website:
http://support.microsoft.com/contactus/?ws=supportOpmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.
Vereisten
Deze hotfix moet u Service Pack 1 voor Windows 7 of Windows Server 2008 R2 is geïnstalleerd.
Opnieuw opstarten
U hoeft de computer niet opnieuw op te starten nadat u deze hotfix hebt toegepast.
Informatie over het vervangen van hotfixes
Deze hotfix vervangt NIET een eerder uitgebrachte hotfix.
De Engelse (Verenigde Staten) versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.
Informatie over Windows 7 en Windows Server 2008 R2 en notitiesBelangrijk Hotfixes voor Windows 7 en Windows Server 2008 R2 zijn opgenomen in dezelfde pakketten. Hotfixes op de pagina Hotfix aanvragen worden echter vermeld onder de beide besturingssystemen. Als u het pakket met hotfixes die voor een of beide besturingssystemen geldt wilt aanvragen, selecteert u de hotfix die op de pagina staat vermeld onder 'Windows 7/Windows Server 2008 R2'. Raadpleeg altijd de sectie 'Van toepassing op' in de artikelen om het besturingssysteem te bepalen waarop elke hotfix van toepassing is.
-
De bestanden die van toepassing zijn op een specifiek product, SR_Level (RTM, SPn), en een specifieke servicestructuur (LDR, GDR) kunnen worden bepaald met de versienummers van de bestanden zoals vermeld in de volgende tabel.
Versie
Product
SR_Level
Servicestructuur
6.1.760
1. 22xxxWindows 7 en Windows Server 2008 R2
SP1
LDR
-
GDR-servicestructuren bevatten uitsluitend deze oplossingen die algemeen worden uitgebracht wijdverbreide zeer belangrijk om problemen te verhelpen. LDR-servicestructuren bevatten hotfixes die op grote schaal beschikbaar gestelde oplossingen aanvullen.
-
De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie 'Bestandsinformatie voor Windows 7 en Windows Server 2008 R2'. MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het statusbeheer van het bijgewerkte onderdelen. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde x86-versies van Windows 7
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
SP-vereiste |
Servicestructuur |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Geen |
Niet van toepassing |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
SP-vereiste |
Servicestructuur |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Geen |
Niet van toepassing |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Geen |
Niet van toepassing |
Aanvullende bestandsinformatie voor Windows 7 en Windows Server 2008 R2
Extra bestanden voor alle ondersteunde x86-versies van Windows 7
Bestandseigenschap |
Waarde |
---|---|
Bestandsnaam |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
720 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
13:22 |
Platform |
Niet van toepassing |
Bestandsnaam |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
719 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
13:22 |
Platform |
Niet van toepassing |
Bestandsnaam |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
63,628 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
07:59 |
Platform |
Niet van toepassing |
Bestandsnaam |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
11,236 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
08:00 |
Platform |
Niet van toepassing |
Extra bestanden voor alle ondersteunde x64-versies van Windows 7 en Windows Server 2008 R2
Bestandseigenschap |
Waarde |
---|---|
Bestandsnaam |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
723 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
13:22 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
721 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
13:22 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
724 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
13:22 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
63,632 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
08:30 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
11,240 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
08:30 |
Platform |
Niet van toepassing |
Bestandsnaam |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
63,628 |
Datum (UTC) |
30-May-2014 |
Tijd (UTC) |
07:59 |
Platform |
Niet van toepassing |
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Deze hotfix bevat een ontwerpwijziging waardoor de OCSP-Responder van Microsoft op de hoogte van alle certificaten waarvan de volgende voorwaarden voldaan wordt:
-
Ze worden uitgegeven door de Certificeringsinstantie.
-
Zij worden niet ingetrokken.
-
Ze zijn momenteel in hun eigen geldigheidsduur.
Referenties
Meer informatie over de terminologie die door Microsoft wordt gebruikt om softwareupdates te beschrijven.