Objawy

W systemie Windows Server 2008 próbujesz zarządzać certyfikatami prostego protokołu rejestrowania certyfikatów (SCEP) przy użyciu usługi rejestracji urządzeń sieciowych (NDES). NDES jest instalowany jako część usług certyfikatów systemu Windows Server 2008. W tym scenariuszu występują następujące problemy:

Problem 1

Hasła nie może nastąpić między urządzeniami.

Oparta na protokole SCEP, urządzenie jest wymagane do wysyłania hasła podczas żądania certyfikatu z serwera protokołu SCEP po raz pierwszy. Serwer protokołu SCEP wystawia certyfikat po sprawdzanie poprawności hasła.

Proces, w którym serwer protokołu SCEP wystawia certyfikat po sprawdzanie poprawności hasła jest następująca:

  1. Administrator loguje się do witryny sieci Web administracji SCEP i żąda hasła.

  2. Serwer protokołu SCEP generuje losowe hasło, zapisuje go w pamięci podręcznej, a następnie wyświetla hasło dla administratora.

  3. Administrator konfiguruje hasło na urządzeniu.

  4. Urządzenie wysyła to hasło w jego pierwotnym wniosku o certyfikat.

    Uwaga To hasło wygasa w ciągu 60 minut.

  5. Serwer wystawia certyfikat, a następnie usuwa hasło z pamięci podręcznej. Hasło można już przez inne urządzenia.

Problem 2

Protokół SCEP certyfikaty nie może być zarejestrowani ponownie automatycznie po ich wygaśnięciu.

Ze względu na te dwie kwestie może upłynąć Administratorzy długi czas do żądania haseł dla wszystkich urządzeń i stosowanie certyfikatów SCEP do nich.

Rozwiązanie

Aby rozwiązać te dwa problemy, należy zainstalować poprawkę 959193. Ta poprawka wprowadza dwa następujące ulepszenia:

Ulepszenie 1

Po zastosowaniu tej poprawki można ponownie haseł między urządzeniami. Nowy proces zarządzania hasłami jest następująca:

  1. Serwer protokołu SCEP potwierdza to ustawienie rejestru w trybie "Jednego hasła". W tym trybie hasło główne jest tworzone i przechowywane w rejestrze przy użyciu zaszyfrowanych danych. Główny hasło nigdy nie wygasa.

  2. Administrator loguje się na SCEP administracyjnej witryny sieci Web i żąda hasła. Hasło główne jest dostarczana.

  3. Administrator konfiguruje hasło na urządzeniu. Ponieważ hasło jest taka sama dla wszystkich urządzeń i nigdy nie wygasa, administrator łatwo można napisać skrypt, aby wdrożyć hasła na wszystkich urządzeniach.

Jak włączyć poprawy 1

Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows
Aby włączyć tę funkcję, należy utworzyć wpis rejestru:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

Uwaga Jeśli usługa NDES są uruchomione na koncie Usługa sieciowa, należy udzielić uprawnienia Pełna kontrola na konto "Network Service" w następującym podkluczu rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Ulepszenie 2

Certyfikaty mogą być zarejestrowani ponownie automatycznie po ich wygaśnięciu. Ta funkcja jest włączona automatycznie po zainstalowaniu tej poprawki.

Domyślnie gdy zostanie wysłane żądanie odnowienia certyfikatu za pomocą tej funkcji certyfikat podpisujący musi mieć tej samej nazwy podmiotu i alternatywnej nazwy podmiotu jako żądany certyfikat. Obejście to wymaganie, należy ustawić wartość wpisu rejestru DisableRenewalSubjectNameMatch w następującym podkluczu na 1.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

Uwaga Być może trzeba utworzyć ten wpis rejestru przy użyciu typu REG_DWORD, jeśli wpis rejestru nie istnieje.

Informacje o poprawce

Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Zastosuj poprawkę tylko w systemach, w których występuje problem opisany w tym artykule. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.

Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.

Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów pomocy technicznej i obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi, odwiedź następującą witrynę firmy Microsoft w sieci Web:

http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.

Ważne poprawki systemu Windows Vista i Windows Server 2008 są zawarte w tych samych pakietach. Jednakże tylko jeden z tych produktów może być wymieniony na stronie "Żądanie poprawki". Aby zażądać pakietu poprawek, który dotyczy systemu Windows Vista i Windows Server 2008, wystarczy wybrać produkt, który znajduje się na stronie.

Wymagania wstępne

Nie ma żadnych wymagań wstępnych.

Wymagania dotyczące ponownego uruchomienia

Musisz ponownie uruchomić komputer po zastosowaniu tej poprawki.

Informacje dotyczące zastępowania poprawek

Ta poprawka nie zastępuje żadnych innych uprzednio wydanych poprawek.

Informacje o plikach

Wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć z karty Strefa czasowa w aplecie Data i godzina w Panelu sterowania.

Informacje o plikach w systemie Windows Server 2008

Pliki manifestu (manifest) i pliki MUM, które są instalowane w poszczególnych środowiskach zostały wymienione osobno w sekcji "informacje o dodatkowych plikach dla systemów Windows Server 2008". Pliki te i ich pliki cat skojarzonego (wykazu zabezpieczeń) są krytyczne dla utrzymania stanu zaktualizowanego składnika. Pliki cat są podpisane za pomocą podpisu cyfrowego firmy Microsoft. Atrybuty tych plików zabezpieczeń nie zostały wymienione.

Wszystkie obsługiwane wersje systemu Windows Server 2008 x86

Nazwa pliku

Wersja pliku

Rozmiar pliku

Data

Godzina

Platforma

Mscep.dll

6.0.6001.22356

139,776

17-Jan-2009

04:50

x86

Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 z x64

Nazwa pliku

Wersja pliku

Rozmiar pliku

Data

Godzina

Platforma

Mscep.dll

6.0.6001.22356

157,184

17-Jan-2009

06:25

x64

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.

Więcej informacji

Aby uzyskać więcej informacji na temat protokołu SCEP odwiedź następującą witrynę sieci Web witryny (IETF) wersji roboczych programu Internet:

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Należy zauważyć, że ten dokument wygaśnie w dniu 25 lipca 2009. Uzyskać informacji po tej dacie wyszukaj ciąg "SCEP" na stronie głównej witryny sieci Web.

Firma Microsoft udostępnia informacje kontaktowe innych firm, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Microsoft nie gwarantuje poprawności niniejszych informacji kontaktowych innych firm.


Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft


Informacje o dodatkowych plikach dla systemu Windows Server 2008

Wszystkie obsługiwane wersje systemu Windows Server 2008 x86

Nazwa pliku

Wersja pliku

Rozmiar pliku

Data

Godzina

Platforma

Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum

Nie dotyczy

13,172

18-Jan-2009

01:10

Nie dotyczy

Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum

Nie dotyczy

1 423

18-Jan-2009

01:10

Nie dotyczy

Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum

Nie dotyczy

13,647

18-Jan-2009

01:10

Nie dotyczy

Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum

Nie dotyczy

1,431

18-Jan-2009

01:10

Nie dotyczy

X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest

Nie dotyczy

43,475

17-Jan-2009

07:10

Nie dotyczy

Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 z x64

Nazwa pliku

Wersja pliku

Rozmiar pliku

Data

Godzina

Platforma

Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest

Nie dotyczy

43,505

17-Jan-2009

09:42

Nie dotyczy

Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum

Nie dotyczy

13,284

18-Jan-2009

01:10

Nie dotyczy

Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum

Nie dotyczy

1,431

18-Jan-2009

01:10

Nie dotyczy

Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum

Nie dotyczy

13,763

18-Jan-2009

01:10

Nie dotyczy

Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum

Nie dotyczy

1 439

18-Jan-2009

01:10

Nie dotyczy

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość tłumaczenia?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×