Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Microsoft Security Advisory: Aktualizacja dotycząca minimalnej długości klucza certyfikatu

Zakończono świadczenie pomocy technicznej dla systemu Windows XP

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows XP 8 kwietnia 2014. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

WPROWADZENIE
Firma Microsoft wydała przeznaczony dla informatyków dokument Microsoft Security Advisory. W tym dokumencie poinformowano, że korzystanie z certyfikatów RSA o kluczach krótszych niż 1024 bity zostanie zablokowane. Aby wyświetlić ten dokument, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby ograniczyć ryzyko nieautoryzowanego ujawnienia informacji poufnych, firma Microsoft wydała aktualizację niezwiązaną z zabezpieczeniami (KB 2661254) dla wszystkich obsługiwanych wersji systemu Microsoft Windows. Ta aktualizacja będzie blokować klucze kryptograficzne krótsze niż 1024 bity. Ta aktualizacja nie dotyczy systemów operacyjnych Windows 8 Release Preview i Windows Server 2012 Release Candidate, ponieważ zawierają już one funkcję blokowania używania słabych kluczy RSA (krótszych niż 1024 bity).
Więcej informacji
Siła algorytmów kryptograficznych opartych na kluczach publicznych zależy od czasu, jakiego wymaga wygenerowanie klucza prywatnego metodami siłowymi. Algorytm jest uważany za dostatecznie silny, gdy czas, jakiego wymaga wygenerowanie klucza prywatnego dostępną mocą obliczeniową, jest za długi, aby można było go rzeczywiście wygenerować. Zagrożenia cały czas ewoluują. Dlatego firma Microsoft jeszcze bardziej zaostrza kryteria dotyczące algorytmów RSA z kluczami krótszymi niż 1024 bity.

Po zastosowaniu tej aktualizacji nowe działanie wpływa tylko na łańcuchy certyfikatów konstruowane za pomocą funkcji CertGetCertificateChain. Interfejs CryptoAPI konstruuje łańcuch zaufania certyfikatów i weryfikuje go, sprawdzając okresy ważności, odwołania certyfikatów i zasady certyfikatów (na przykład zamierzone cele). Ta aktualizacja implementuje dodatkowy test zapewniający, że żaden certyfikat w łańcuchu nie będzie mieć klucza RSA krótszego niż 1024 bity.

Informacje o zastępowaniu aktualizacji

Ta aktualizacja zastępuje następującą aktualizację:
2677070 Dostępny jest automatyczny aktualizator odwołanych certyfikatów dla systemów Windows Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2

Znane problemy dotyczące tej aktualizacji zabezpieczeń

Po zastosowaniu tej aktualizacji:
  • Wymagane jest ponowne uruchomienie komputera.
  • Urząd certyfikacji nie może wystawiać certyfikatów RSA z kluczami krótszymi niż 1024 bity.
  • Gdy urząd certyfikacji używa certyfikatu RSA z kluczem krótszym niż 1024 bity, nie można uruchomić usługi urzędu certyfikacji (certsvc).
  • Program Internet Explorer nie zezwala na dostęp do witryn sieci Web zabezpieczanych certyfikatami RSA z kluczami krótszymi niż 1024 bity.
  • Program Outlook 2010 nie umożliwia odszyfrowania wiadomości e-mail używających certyfikatów RSA z kluczami krótszymi niż 1024 bity. Jednak wiadomości e-mail już odszyfrowane za pomocą certyfikatów RSA z kluczami krótszymi niż 1024 bity można odszyfrować po zainstalowaniu tej aktualizacji.
  • Program Outlook 2010 nie umożliwia podpisywania cyfrowego wiadomości e-mail używających certyfikatów RSA z kluczami krótszymi niż 1024 bity.
  • W razie odebrania w programie Outlook 2010 wiadomości e-mail z podpisem cyfrowym lub zaszyfrowanej z zastosowaniem certyfikatu RSA z kluczem krótszym niż 1024 bity użytkownikowi zostanie zwrócony błąd z informacją, że certyfikat jest niezaufany. Użytkownik może mimo to wyświetlić zaszyfrowaną lub podpisaną wiadomość e-mail.
  • Program Outlook 2010 nie może łączyć się z serwerem programu Microsoft Exchange zabezpieczającym sesję SSL/TLS certyfikatem RSA z kluczem krótszym niż 1024 bity. Wyświetlany jest następujący błąd: „Informacje wymieniane z tą witryną nie mogą być wyświetlane ani zmieniane przez inne osoby. Istnieje jednak problem z certyfikatem zabezpieczeń witryny. Certyfikat zabezpieczeń jest nieprawidłowy. Nie należy ufać tej witrynie”.
  • Zgłaszane są ostrzeżenia o zabezpieczeniach „Nieznany wydawca”, ale w następujących przypadkach można kontynuować instalację:
    • Napotkano podpisy Authenticode z sygnaturą czasową nie starszą niż 1 stycznia 2010, utworzone z zastosowaniem certyfikatu RSA z kluczem krótszym niż 1024 bity.
    • Instalatorzy z podpisami utworzonymi z zastosowaniem certyfikatów RSA z kluczami krótszymi niż 1024 bity.
    • Formanty (kontrolki) ActiveX z podpisami utworzonymi z zastosowaniem certyfikatów RSA z kluczami krótszymi niż 1024 bity. Nowe działanie nie wpływa na formanty ActiveX zainstalowane przed zainstalowaniem tej aktualizacji.
  • Komputery HP-UX PA-RISC z oprogramowaniem System Center używające certyfikatów RSA z kluczami o długości 512 bitów będą generować alerty pulsu i wszelkie operacje monitorowania tych komputerów za pomocą programu Operations Manager będą kończyć się niepowodzeniem. Generowany będzie też „błąd certyfikatu SSL” z opisem „weryfikacja podpisanego certyfikatu”. Ponadto program Operations Manager nie będzie odnajdować nowych komputerów HP-UX PA-RISC z powodu błędu „weryfikacja podpisanego certyfikatu”. Klientom z oprogramowaniem System Center i komputerami HP-UX PA-RISC zaleca się ponowne wystawienie certyfikatów RSA z kluczami o długości co najmniej 1024 bitów. Aby uzyskać więcej informacji, odwiedź następującą stronę sieci Web w witrynie TechNet:
Uwaga Ta aktualizacja nie wpływa na szyfrowanie systemu szyfrowania plików (EFS, Encrypting File System).

Odnajdowanie certyfikatów RSA z kluczami krótszymi niż 1024 bity

Istnieją cztery główne metody sprawdzania, czy w użyciu są certyfikaty RSA z kluczami krótszymi niż 1024 bity:
  • Ręczne sprawdzanie certyfikatów i ścieżek certyfikacji
  • Używanie rejestrowania CAPI2
  • Sprawdzanie szablonów certyfikatów
  • Włączanie rejestrowania na komputerach z zainstalowaną aktualizacją

Ręczne sprawdzanie certyfikatów i ścieżek certyfikacji

Certyfikaty można sprawdzić ręcznie, otwierając je i odczytując ich typy, długości kluczy oraz ścieżki certyfikacji. Można to zrobić, wyświetlając (zwykle kliknięciem dwukrotnym) wszystkie certyfikaty wystawione wewnętrznie. Na karcie Ścieżka certyfikacji należy kliknąć przycisk Wyświetl certyfikat dla każdego certyfikatu w łańcuchu, aby upewnić się, że wszystkie certyfikaty RSA mają klucze nie krótsze niż 1024 bity.

Na przykład certyfikat na poniższej ilustracji wystawił główny urząd certyfikacji przedsiębiorstwa AdatumRootCA kontrolerowi domeny 2003DC.adatum.com. Można wybrać certyfikat AdatumRootCA na karcie Ścieżka certyfikacji.



Aby wyświetlić certyfikat AdatumRootCA, należy kliknąć przycisk Wyświetl certyfikat. W okienku Szczegóły należy wybrać pozycję Klucz publiczny, aby wyświetlić rozmiar klucza, tak jak pokazano na poniższej ilustracji.



W tym przykładzie certyfikat RSA urzędu AdatumRootCA ma 2048 bitów.

Używanie rejestrowania CAPI2

Na komputerach z systemem Windows Vista lub Windows Server 2008 albo z nowszymi wersjami systemu Windows klucze krótsze niż 1024 bity można zidentyfikować za pomocą rejestrowania CAPI2. Po okresie normalnego działania komputera można sprawdzić dziennik pod kątem kluczy krótszych niż 1024 bity. Następnie za pomocą uzyskanych w ten sposób informacji można odszukać źródła certyfikatów i wprowadzić odpowiednie aktualizacje.

W tym celu należy najpierw włączyć pełne rejestrowanie diagnostyczne. Aby włączyć pełne rejestrowanie diagnostyczne, wykonaj następujące czynności:

1. Otwórz Edytor rejestru (Regedit.exe).

2. Przejdź do następującego klucza rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Dodaj 32-bitową wartość DWORD DiagLevel o wartości 0x00000005.

4. Dodaj 64-bitową wartość QWORD DiagMatchAnyMask o wartości 0x00ffffff.



Następnie można włączyć rejestrowanie operacyjne CAPI2 w Podglądzie zdarzeń. Dziennik operacyjny CAPI2 znajduje się w Podglądzie zdarzeń w obszarze Dzienniki aplikacji i usług, Microsoft, Windows i CAPI2. Aby włączyć rejestrowanie, kliknij prawym przyciskiem myszy pozycję dziennika Działa kliknij pozycję Włącz dziennik, a następnie kliknij pozycję Filtruj bieżący dziennik. Kliknij kartę XML, a następnie zaznacz kliknięciem pole wyboru Edytuj zapytanie ręcznie.

Po zebraniu informacji w dzienniku można skrócić listę jego wpisów za pomocą poniższego filtru, aby odszukać operacje certyfikatów z kluczami krótszymi niż 1024 bity. Poniższy filtr odszukuje klucze o długości 512 bitów.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>



Za pomocą jednego zapytania można też wyszukiwać wiele różnych długości kluczy. Na przykład poniższy filtr odszukuje klucze o długości 384 i 512 bitów.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Sprawdzanie szablonów certyfikatów

Uruchamiając poniższe zapytanie dla używanych urzędów certyfikacji, można odnaleźć szablony certyfikatów z kluczami krótszymi niż 1024 bity:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Uwaga To polecenie należy uruchomić w każdym z lasów w organizacji.

Uruchomienie tego zapytania powoduje wyświetlenie szablonów z kluczami krótszymi niż 1024 bity wraz z rozmiarami tych kluczy. Na poniższej ilustracji widać, że dwa z wbudowanych szablonów, SmartcardLogon i SmartcardUser, mają domyślne długości kluczy co najmniej 512 bitów. Mogą też zostać odnalezione inne szablony, które zduplikowano z minimalnymi długościami kluczy poniżej 1024 bitów.

W przypadku każdego odnalezionego szablonu zezwalającego na klucze krótsze niż 1024 bity należy ustalić, czy można wystawić certyfikaty, tak jak pokazano w sekcji Szablony certyfikatów w konsoli Urząd certyfikacji.



Włączanie rejestrowania na komputerach z zainstalowaną aktualizacją

Za pomocą ustawień rejestru można umożliwić komputerom z tą aktualizacją odszukanie certyfikatów RSA z kluczami krótszymi niż 1024 bity. Opcję wdrożenia rejestrowania opisano w sekcji „Rozwiązania”, ponieważ jest ona ściśle związana z ustawieniami rejestru, za pomocą których można zezwalać na klucze krótsze niż 1024 bity. Więcej informacji o tym, jak włączyć rejestrowanie, podano w sekcji „Zezwalanie na klucze krótsze niż 1024 bity za pomocą ustawień rejestru” w dalszej części tego artykułu.
Rozwiązania
Podstawowym rozwiązaniem problemu związanego z blokowaniem certyfikatu z kluczem krótszym niż 1024 bity jest wdrożenie większego certyfikatu, z kluczem o długości co najmniej 1024 bitów. Zaleca się wdrażanie certyfikatów z kluczami o długości co najmniej 2048 bitów.

Zwiększanie rozmiaru klucza certyfikatu wystawionego przez automatyczne rejestrowanie certyfikatów

W przypadku szablonów powodujących wystawianie certyfikatów RSA z kluczami krótszymi niż 1024 bity należy rozważyć zwiększenie minimalnego rozmiaru klucza do co najmniej 1024 bitów. Ma to zastosowanie przy założeniu, że urządzenia, którym te certyfikaty są wystawiane, obsługują większe klucze.

Po zwiększeniu minimalnego rozmiaru klucza należy za pomocą opcji Zarejestruj ponownie wszystkich posiadaczy certyfikatów w Konsoli szablonów certyfikatów polecić komputerom klienckim ponowne zarejestrowanie się i zażądanie większych kluczy.



Jeśli wystawiono certyfikaty za pomocą wbudowanych szablonów Logowanie kartą inteligentną lub Użytkownik karty inteligentnej, nie można bezpośrednio dostosować minimalnego rozmiaru klucza szablonu. Zamiast tego należy zduplikować szablon, zwiększyć rozmiar klucza w duplikacie, a następnie zastąpić szablon pierwotny zduplikowanym.



Po zastąpieniu szablonu należy za pomocą opcji Zarejestruj ponownie wszystkich posiadaczy certyfikatów polecić komputerom klienckim ponowne zarejestrowanie się i zażądanie większych kluczy.



Zezwalanie na klucze krótsze niż 1024 bity za pomocą ustawień rejestru

Firma Microsoft nie zaleca klientom używania certyfikatów krótszych niż 1024 bity. Klienci mogą jednak potrzebować tymczasowego obejścia problemu na czas opracowywania rozwiązania długoterminowego mającego zastąpić certyfikaty RSA z kluczami krótszymi niż 1024 bity. Z myślą o takich przypadkach firma Microsoft udostępnia klientom możliwość zmiany działania tej aktualizacji. Klienci konfigurujący te ustawienia akceptują zagrożenie atakiem, w ramach którego ich certyfikaty mogą zostać złamane i użyte do fałszowania zawartości, wyłudzania informacji lub przechwytywania pakietów na drodze między klientem a serwerem.

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu w przypadku wystąpienia problemu będzie można przywrócić rejestr. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Na komputerach z systemami Windows 8 i Windows Server 2012 oraz zastosowaną tą aktualizacją można za pomocą poniższej ścieżki i ustawień rejestru sterować wykrywaniem i blokowaniem certyfikatów RSA z kluczami krótszymi niż 1024 bity.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Działaniem blokowania kluczy krótszych niż 1024 bity sterują cztery główne wartości. Oto one:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
W kolejnych sekcjach omówiono poszczególne wartości i wyjaśniono, czym sterują.

W systemach operacyjnych od wersji Windows Vista i Windows Server 2008 można zmieniać te ustawienia rejestru za pomocą poleceń certutil. W systemach Windows XP, Windows Server 2003 i Windows Server 2003 R2 nie można zmieniać tych ustawień rejestru za pomocą poleceń certutil. Można jednak używać Edytora rejestru, polecenia reg lub plików reg.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength to wartość DWORD definiująca minimalną dozwoloną długość klucza RSA. Domyślnie tej wartości nie ma, a minimalna dozwolona długość klucza RSA to 1024. Tę wartość można ustawić na 512 za pomocą narzędzia certutil, uruchamiając następujące polecenie:

certutil -setreg chain\minRSAPubKeyBitLength 512

UwagaWszystkie przedstawione w tym artykule polecenia certutil wymagają uprawnień administratora lokalnego, ponieważ zmieniają rejestr. Komunikat „Aby zmiany zostały wprowadzone, może być konieczne ponowne uruchomienie usługi CertSvc” można zignorować. Nie jest to wymagane w przypadku tych poleceń, ponieważ nie wpływają na usługę certyfikatów (CertSvc).

Usuwając tę wartość, można wrócić do blokowania kluczy krótszych niż 1024 bity. W tym celu należy uruchomić następujące polecenie certutil:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

Wartość DWORD EnableWeakSignatureFlags może przyjmować wartości 2, 4, 6 i 8. Te ustawienia zmieniają działanie wykrywania i blokowania kluczy o długości krótszej niż 1024 bity. W poniższej tabeli opisano te ustawienia:
Wartość dziesiętnaOpis
2Gdy ta wartość jest włączona, certyfikat główny (w trakcie konstruowania łańcucha) może mieć certyfikat RSA z kluczem krótszym niż 1024 bity. Blokowanie certyfikatów RSA z kluczami krótszymi niż 1024 bity na niższych poziomach łańcucha nadal działa. Flaga włączona w przypadku ustawienia tej wartości: CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.
4Włącza rejestrowanie, ale mimo to wymusza blokowanie certyfikatów RSA z kluczami krótszymi niż 1024 bity. Gdy ta wartość jest włączona, jest wymagany folder WeakSignatureLogDir. Wszystkie napotkane klucze krótsze niż 1024 bity są kopiowane do folderu fizycznego WeakSignatureLogDir. Flaga włączona w przypadku ustawienia tej wartości: CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG.
6Gdy ta wartość jest włączona, certyfikat główny może mieć certyfikat RSA z kluczem krótszym niż 1024 bity i jest wymagany folder WeakSignatureLogDir. Wszystkie klucze poniżej poziomu certyfikatu głównego krótsze niż 1024 bity są blokowane i rejestrowane w folderze wskazanym jako WeakSignatureLogDir.
8Włącza rejestrowanie i nie wymusza blokowania kluczy krótszych niż 1024 bity. Gdy ta wartość jest włączona, jest wymagany folder WeakSignatureLogDir. Wszystkie napotkane klucze krótsze niż 1024 bity są kopiowane do folderu fizycznego WeakSignatureLogDir. Flaga włączona w przypadku ustawienia tej wartości: CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG.

Przykłady

Aby zezwolić na certyfikat główny RSA z kluczem krótszym niż 1024 bity, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 2

Aby włączyć rejestrowanie, nadal blokując certyfikaty z kluczami krótszymi niż 1024 bity, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 4

Aby włączyć rejestrowanie tylko certyfikatów RSA z kluczami krótszymi niż 1024 bity na poziomie poniżej certyfikatu głównego, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 6

Aby tylko włączyć rejestrowanie, nie blokując kluczy krótszych niż 1024 bity, należy użyć następującego polecenia certutil:

certutil -setreg chain\EnableWeakSignatureFlags 8

Uwaga Włączając rejestrowanie (ustawienia dziesiętne 4, 6 i 8), należy też skonfigurować katalog dziennika zgodnie z opisem w następnej sekcji.

WeakSignatureLogDir

Gdy ta wartość jest zdefiniowana, certyfikaty z kluczami krótszymi niż 1024 bity są zapisywane w określonym folderze. Jako danych tej wartości można na przykład użyć folderu C:\dziennik_kluczy_krótszych_niż_1024. Ta opcja jest wymagana, gdy dla ustawienia EnableWeakSignatureFlags skonfigurowano wartość 4 lub 8. Dla wskazanego folderu należy tak skonfigurować zabezpieczenia, aby grupa Użytkownicy uwierzytelnieni i grupa lokalna Wszystkie pakiety aplikacji miały do niego dostęp z możliwością modyfikowania go. Aby jako tę wartość ustawić folder C:\dziennik_kluczy_krótszych_niż_1024, można uruchomić następujące polecenie certutil:

Certutil -setreg chain\WeakSignatureLogDir "C:\dziennik_kluczy_krótszych_niż_1024"

Wartość WeakSignatureLogDir można też tak skonfigurować, aby zapisu dokonywać w udostępnionym folderze sieciowym. Należy się upewnić, że dla danej lokalizacji sieciowej skonfigurowano odpowiednie uprawnienia, aby wszyscy skonfigurowani użytkownicy mogli zapisywać w tym folderze udostępnionym. Poniższe polecenie służy na przykład do skonfigurowania zmiennej WeakSignatureLogDir w celu zapisywania w folderze Klucze, który znajduje się w udostępnionym folderze sieciowym o nazwie RSA na serwerze Serwer1:

Certutil -setreg chain\WeakSignatureLogDir "\\serwer1\rsa\klucze"

WeakRsaPubKeyTime

WeakRsaPubKeyTime to 8-bajtowa wartość REG_BINARY zawierająca typ danych czasu pliku (FILETIME) systemu Windows przechowywany w formacie czasu UTC/GMT. Tę wartość udostępniono przede wszystkim w celu ograniczenia potencjalnych problemów związanych z blokowaniem kluczy krótszych niż 1024 bity dla podpisów Authenticode. Certyfikaty użyte do podpisania kodu przed skonfigurowaną datą i godziną nie są sprawdzane pod kątem kluczy krótszych niż 1024 bity. Domyślnie tej wartości rejestru nie ma, a jako odpowiedni punkt w czasie przyjmuje się północ 1 stycznia 2010 (UTC/GMT).

UwagaTo ustawienie ma zastosowanie tylko w razie użycia certyfikatu do podpisania pliku z sygnaturą czasową w technologii Authenticode. Jeśli kod nie ma sygnatury czasowej, używany jest czas bieżący, a ustawienie WeakRsaPubKeyTime nie jest stosowane.

Ustawienie WeakRsaPubKeyTime umożliwia skonfigurowanie daty, dla której starsze podpisy mają być uznawane za ważne. Jeśli z jakichś powodów należy skonfigurować inną datę i godzinę w zmiennej WeakRsaPubKeyTime, można to zrobić za pomocą polecenia certutil. Aby na przykład ustawić datę 29 sierpnia 2010, można użyć następującego polecenia:

certutil -setreg chain\WeakRsaPubKeyTime @2010-08-29

Jeśli trzeba ustawić konkretną godzinę, na przykład 18:00 dnia 4 lipca 2011, należy dodać do polecenia liczbę dni i godzin w formacie +[dd:gg]. Ponieważ 18:00 przypada 18 godzin po północy 4 lipca 2011, należy uruchomić następujące polecenie:

certutil -setreg chain\WeakRsaPubKeyTime @2011-01-15+00:18

Konfigurowanie certyfikatów w programie Internet Information Services (IIS)

Klienci z programem IIS, którzy chcą wystawiać nowe certyfikaty o długości 1024 bitów lub dłuższe, powinni zapoznać się z tymi artykułami:  
Rozwiązanie
Następujące pliki są dostępne do pobrania w Centrum pobierania Microsoft:


Wszystkie obsługiwane wersje systemu Windows XP dla systemów opartych na procesorach x86

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows XP Professional x64 Edition

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2003 dla systemów opartych na procesorach x86

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2003 dla systemów opartych na procesorach x64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2003 dla systemów opartych na procesorach IA-64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Vista dla systemów opartych na procesorach x86

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Vista dla systemów opartych na procesorach x64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach x86

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach x64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 dla systemów opartych na procesorach IA-64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 7 dla systemów opartych na procesorach x86

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows 7 dla systemów opartych na procesorach x64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 R2 dla systemów opartych na procesorach x64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Server 2008 R2 dla systemów opartych na procesorach IA-64

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Embedded Standard 7 dla systemów opartych na procesorach x86

Plik do pobraniaPobierz pakiet teraz.

Wszystkie obsługiwane wersje systemu Windows Embedded Standard 7 dla systemów opartych na procesorach x64

Plik do pobraniaPobierz pakiet teraz.

Data wydania: 14 sierpnia 2012

Aby uzyskać więcej informacji dotyczących sposobów pobierania plików pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki pomocy technicznej firmy Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w dniu opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonym poziomie zabezpieczeń, które utrudniają wprowadzanie nieautoryzowanych zmian w pliku.
INFORMACJE O PLIKACH
Aby uzyskać listę plików udostępnianych w tych pakietach, kliknij łącze poniżej:
aktualizacja poprawka_zabezpieczeń aktualizacja_zabezpieczeń zabezpieczenia usterka luka złośliwy atakujący program_wykorzystujący_luki rejestr nieuwierzytelniony bufor przekroczenie przepełnienie specjalnie_uformowany zakres specjalnie_przygotowany odmowa usługi DoS TSE
Właściwości

Identyfikator artykułu: 2661254 — ostatni przegląd: 12/26/2012 23:38:00 — zmiana: 6.0

Windows 7 Service Pack 1, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows 7 Home Premium, Windows 7 Home Basic, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Dodatek Service Pack 2 do systemu Windows Vista, Dodatek Service Pack 1 do systemu Windows Vista, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability KB2661254
Opinia
t>