Objawy
W systemie Windows Server 2008 próbujesz zarządzać certyfikatami prostego protokołu rejestrowania certyfikatów (SCEP) przy użyciu usługi rejestracji urządzeń sieciowych (NDES). NDES jest instalowany jako część usług certyfikatów systemu Windows Server 2008. W tym scenariuszu występują następujące problemy:
Problem 1
Hasła nie może nastąpić między urządzeniami.
Oparta na protokole SCEP, urządzenie jest wymagane do wysyłania hasła podczas żądania certyfikatu z serwera protokołu SCEP po raz pierwszy. Serwer protokołu SCEP wystawia certyfikat po sprawdzanie poprawności hasła.
Proces, w którym serwer protokołu SCEP wystawia certyfikat po sprawdzanie poprawności hasła jest następująca:
-
Administrator loguje się do witryny sieci Web administracji SCEP i żąda hasła.
-
Serwer protokołu SCEP generuje losowe hasło, zapisuje go w pamięci podręcznej, a następnie wyświetla hasło dla administratora.
-
Administrator konfiguruje hasło na urządzeniu.
-
Urządzenie wysyła to hasło w jego pierwotnym wniosku o certyfikat.
Uwaga To hasło wygasa w ciągu 60 minut. -
Serwer wystawia certyfikat, a następnie usuwa hasło z pamięci podręcznej. Hasło można już przez inne urządzenia.
Problem 2
Protokół SCEP certyfikaty nie może być zarejestrowani ponownie automatycznie po ich wygaśnięciu.
Ze względu na te dwie kwestie może upłynąć Administratorzy długi czas do żądania haseł dla wszystkich urządzeń i stosowanie certyfikatów SCEP do nich.
Rozwiązanie
Aby rozwiązać te dwa problemy, należy zainstalować poprawkę 959193. Ta poprawka wprowadza dwa następujące ulepszenia:
Ulepszenie 1
Po zastosowaniu tej poprawki można ponownie haseł między urządzeniami. Nowy proces zarządzania hasłami jest następująca:
-
Serwer protokołu SCEP potwierdza to ustawienie rejestru w trybie "Jednego hasła". W tym trybie hasło główne jest tworzone i przechowywane w rejestrze przy użyciu zaszyfrowanych danych. Główny hasło nigdy nie wygasa.
-
Administrator loguje się na SCEP administracyjnej witryny sieci Web i żąda hasła. Hasło główne jest dostarczana.
-
Administrator konfiguruje hasło na urządzeniu. Ponieważ hasło jest taka sama dla wszystkich urządzeń i nigdy nie wygasa, administrator łatwo można napisać skrypt, aby wdrożyć hasła na wszystkich urządzeniach.
Jak włączyć poprawy 1
Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows
Aby włączyć tę funkcję, należy utworzyć wpis rejestru:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Uwaga Jeśli usługa NDES są uruchomione na koncie Usługa sieciowa, należy udzielić uprawnienia Pełna kontrola na konto "Network Service" w następującym podkluczu rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
Ulepszenie 2
Certyfikaty mogą być zarejestrowani ponownie automatycznie po ich wygaśnięciu. Ta funkcja jest włączona automatycznie po zainstalowaniu tej poprawki.
Domyślnie gdy zostanie wysłane żądanie odnowienia certyfikatu za pomocą tej funkcji certyfikat podpisujący musi mieć tej samej nazwy podmiotu i alternatywnej nazwy podmiotu jako żądany certyfikat. Obejście to wymaganie, należy ustawić wartość wpisu rejestru DisableRenewalSubjectNameMatch w następującym podkluczu na 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Uwaga Być może trzeba utworzyć ten wpis rejestru przy użyciu typu REG_DWORD, jeśli wpis rejestru nie istnieje.
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Zastosuj poprawkę tylko w systemach, w których występuje problem opisany w tym artykule. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów pomocy technicznej i obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Ważne poprawki systemu Windows Vista i Windows Server 2008 są zawarte w tych samych pakietach. Jednakże tylko jeden z tych produktów może być wymieniony na stronie "Żądanie poprawki". Aby zażądać pakietu poprawek, który dotyczy systemu Windows Vista i Windows Server 2008, wystarczy wybrać produkt, który znajduje się na stronie.
Wymagania wstępne
Nie ma żadnych wymagań wstępnych.
Wymagania dotyczące ponownego uruchomienia
Musisz ponownie uruchomić komputer po zastosowaniu tej poprawki.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje żadnych innych uprzednio wydanych poprawek.
Informacje o plikach
Wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć z karty Strefa czasowa w aplecie Data i godzina w Panelu sterowania.
Informacje o plikach w systemie Windows Server 2008
Pliki manifestu (manifest) i pliki MUM, które są instalowane w poszczególnych środowiskach zostały wymienione osobno w sekcji "informacje o dodatkowych plikach dla systemów Windows Server 2008". Pliki te i ich pliki cat skojarzonego (wykazu zabezpieczeń) są krytyczne dla utrzymania stanu zaktualizowanego składnika. Pliki cat są podpisane za pomocą podpisu cyfrowego firmy Microsoft. Atrybuty tych plików zabezpieczeń nie zostały wymienione.
Wszystkie obsługiwane wersje systemu Windows Server 2008 x86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 z x64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Aby uzyskać więcej informacji na temat protokołu SCEP odwiedź następującą witrynę sieci Web witryny (IETF) wersji roboczych programu Internet:
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Należy zauważyć, że ten dokument wygaśnie w dniu 25 lipca 2009. Uzyskać informacji po tej dacie wyszukaj ciąg "SCEP" na stronie głównej witryny sieci Web.
Firma Microsoft udostępnia informacje kontaktowe innych firm, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Microsoft nie gwarantuje poprawności niniejszych informacji kontaktowych innych firm.
Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
Informacje o dodatkowych plikach dla systemu Windows Server 2008
Wszystkie obsługiwane wersje systemu Windows Server 2008 x86
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Nie dotyczy |
13,172 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
|
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Nie dotyczy |
1 423 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
|
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Nie dotyczy |
13,647 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
|
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Nie dotyczy |
1,431 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
|
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
Nie dotyczy |
43,475 |
17-Jan-2009 |
07:10 |
Nie dotyczy |
Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 z x64
|
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
Nie dotyczy |
43,505 |
17-Jan-2009 |
09:42 |
Nie dotyczy |
|
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Nie dotyczy |
13,284 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
|
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Nie dotyczy |
1,431 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
|
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Nie dotyczy |
13,763 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
|
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Nie dotyczy |
1 439 |
18-Jan-2009 |
01:10 |
Nie dotyczy |
