Objawy
Rozważ następujący scenariusz:
-
Masz zainstalowane na serwerze, na którym jest uruchomiony system Windows Server 2008 R2 lub Windows Server 2012 R2 usługa Obiekt odpowiadający w trybie Online firmy Microsoft.
-
Serwer jest używany do konfigurowania i zarządzania Protokołu stanu certyfikatów Online (OCSP) sprawdzania poprawności.
W tym scenariuszu usługa Obiekt odpowiadający w trybie Online nie zwraca wartość firmy Deterministic Networks dobra dla wszystkich certyfikatów, które nie są uwzględnione w liście odwołania certyfikatów (CRL).
Przyczyna
Ten problem występuje, ponieważ protokołu OCSP nie weryfikuje ze źródła potwierdzonego czy certyfikat rzeczywiście został wystawiony przez jego odpowiedni urząd certyfikacji. Zamiast tego Jeśli certyfikat nie jest uwzględniony na liście CRL, Usługa obiektu odpowiadającego w trybie Online zakłada, że certyfikat jest prawidłowy i zwraca wartość dobra.
Rozwiązanie
Aby rozwiązać ten problem w systemie Windows 8.1 lub systemu Windows Server 2012 R2, należy zainstalować aktualizację 2967917. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
2967917 2014 lipca pakiet zbiorczy aktualizacji dla systemu Windows RT 8.1, 8.1 systemu Windows i systemu Windows Server 2012 R2
Aby rozwiązać ten problem w systemie Windows 7 lub Windows Server 2008 R2, należy zainstalować poprawkę, opisaną w sekcji "Informacje" w tym artykule.
Przed zainstalowaniem tej poprawki należy skonfigurować usługi protokołu OCSP do odczytu numerów seryjnych, które są wystawiane przez urząd certyfikacji. Aby to zrobić, wykonaj kroki opisane w tej sekcji, aby utworzyć lokalizacji katalogu, w którym chcesz zapisać pliki numer seryjny i do tworzenia kluczy rejestru, które wskazują ten katalog.
Uwagi
-
Katalog można znajdujące się w udziale sieciowym lub obsługiwanej na komputerze lokalnym. Jeśli ustawisz konfiguracją macierzy, firma Microsoft zaleca hosta katalogu na dysku sieciowym, wszystkie elementy tablicy mają "odczytanie" dostęp do niego.
-
Niezależnie od tego, gdzie znajduje się katalog upewnij się, że usługi protokołu OCSP ma uprawnienie Odczyt do katalogu. Ustawienia rejestru nie zastosuje się do wszelkich trybie Online firmy Microsoft, który nie są modyfikowane przez tę poprawkę.
Konfigurowanie usługi protokołu OCSP
Uruchom następujące kroki na komputerze urzędu certyfikacji, dla którego skonfigurowano usługi protokołu OCSP.
Krok 1: Struktura katalogów
-
Uruchom Notatnik, a następnie wklej następujący przykładowy skrypt do nowego dokumentu:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Zapisz nowy dokument jako Certs.ps1.
-
Utwórz katalog, w którym mają być przechowywane puste pliki, które odnoszą się do wszystkich wystawionych numery seryjne.
-
Uruchom skrypt Certs.ps1. Aby to zrobić, uruchom następujące polecenie w programie Windows PowerShell:
Certs.ps1 < lokalizacja katalogu utworzonego w kroku 3 >
-
Sprawdź katalog, który został utworzony w kroku 3, aby upewnić się, że pliki odpowiadają wystawionych numery seryjne.
Uwaga Jeśli masz wiele urzędów certyfikacji obsługiwanych w danym środowisku, upewnij się, że ich odpowiednich katalogów numer seryjny są różne. Nie udostępniaj tego samego katalogu między różnych urzędów certyfikacji. -
Uruchom skrypt na komputerze urzędu certyfikacji, a następnie przesłać zapisanego pliku przez nadanie mu restrykcyjne list kontroli dostępu. Pliku nie można edytować. Upewnij się, czy wszystkie komputery obiektu odpowiadającego w trybie Online firmy Microsoft dostęp do tej lokalizacji.
Więcej informacji na temat tej procedury
Obiekt odpowiadający w trybie Online firmy Microsoft zwraca wartość nieznana dla wszystkich certyfikatów, które są wystawiane, ale jeszcze nie w pliku, który jest utworzony w kroku 6. Ten skrypt należy uruchomić w regularnych odstępach czasu i odświeżane w kolejności obiektu odpowiadającego w trybie Online firmy Microsoft zapewnić aktualny stan. To ustawienie interwału zależy od środowiska wdrażania. Zaleca się wybrać odpowiedni odstęp od czterech godzin do wartości następnej listy CRL daty publikacji.
Krok 2: rejestr
Ostrzeżenie: Nieprawidłowa modyfikacja rejestru za pomocą Edytora rejestru lub inną metodą może spowodować poważne problemy. Te problemy mogą wymagać ponownej instalacji systemu operacyjnego. Firma Microsoft nie gwarantuje, że możliwe będzie rozwiązanie tych problemów. Modyfikujesz rejestr na własną odpowiedzialność.
-
Zamknij wszystkie aplikacje systemu Windows.
-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij OK.
-
Zlokalizuj i zaznacz następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Kliknij urząd certyfikacji (CA), dla którego utworzono strukturę katalogów.
-
Kliknij prawym przyciskiem myszy Węzeł dostawcy, wskaż polecenie Nowy, a następnie kliknij Wartość wielociągu.
-
Wpisz IssuedSerialNumbersDirectories, a następnie naciśnij klawisz Enter.
-
Kliknij prawym przyciskiem myszy IssuedSerialNumbersDirectories, a następnie kliknij polecenie Modyfikuj.
-
W polu Dane wartości wpisz ścieżkę do katalogu utworzonego w kroku 3 procedury struktury katalogu i zawiera wystawionych numery seryjne, a następnie kliknij przycisk OK.
Dla ścieżki katalogu należy użyć następującego formatu:\\<computername>\<directorylocation>Na przykład należy użyć ścieżki, podobny do następującego:
\\contoso-ocspfileserver\SerialNumbers
-
W menu plik kliknij polecenie Zakończ , aby zamknąć Edytor rejestru.
-
Zainstaluj pakiet poprawek, który jest wymieniony w tym artykule.
Po wykonaniu "Struktura katalogów" i "Rejestr" kroki, należy zainstalować pakiet poprawek, który jest wymieniony w tym artykule.
Wyniki
Po zainstalowaniu tej poprawki, należy wykonać następujące usługi Obiekt odpowiadający w trybie Online:
-
Zwraca wartość dobra dla certyfikatów, które są weryfikowane
-
Zwraca wartość odwołany dla certyfikatów, które znajdują się na liście CRL
-
Zwraca wartość nieznana dla wszystkich certyfikatów, które nie mogą być zweryfikowane
Informacje o poprawce
Obsługiwana poprawka dostępna jest z witryny Microsoft Support. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Zastosuj poprawkę tylko w systemach, w których występuje problem opisany w tym artykule. Ta poprawka może być wciąż w fazie testowania. Jeśli dany system nie jest poważnie narażony na ten problem, firma Microsoft zaleca, aby poczekać na następną aktualizację oprogramowania zawierającą tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, skontaktuj się z Obsługą i Wsparciem Klienta Microsoft w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów pomocy technicznej i obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi, odwiedź następujące witryny firmy Microsoft znajdują się:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Aby zastosować tę poprawkę, musi mieć dodatek Service Pack 1 dla systemu Windows 7 lub Windows Server 2008 R2 zainstalowany.
Wymagania dotyczące ponownego uruchomienia
Nie musisz ponownie uruchomiać komputera po zastosowaniu tej poprawki.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje żadnych wcześniej wydanych poprawek.
Wersja angielskojęzyczna (Stany Zjednoczone) tej poprawki instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom są podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Daty i godziny odpowiadające tym plikom na komputerze lokalnym są wyświetlane w formacie czasu lokalnego, wraz z Twoim bieżącym bias czasu letniego (DST). Dodatkowo, daty mogą ulec zmianie podczas wykonywania pewnych operacji na plikach.
Informacje o plikach systemu Windows 7 i Windows Server 2008 R2 i notatkiWażne Poprawki systemu Windows 7 i Windows Server 2008 R2 są zawarte w tych samych opakowaniach. Jednak poprawki na stronie żądanie poprawki są wymienione w obu systemach operacyjnych. Aby zażądać pakietu poprawek, który dotyczy jednej lub obu systemów operacyjnych, wybierz poprawkę, która jest wyświetlana w obszarze "Windows 7/Windows Server 2008 R2" na stronie. Zawsze można znaleźć w sekcji "Dotyczy" artykuły do określenia rzeczywistej system operacyjny, który dotyczy każdej poprawki.
-
Pliki, które dotyczą określonego produktu, poziomu SR (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
Wersja
Produkt
SR_Level
Składnik usługi
6.1.760
1. 22xxxWindows 7 i Windows Server 2008 R2
SP1
LDR
-
Składniki usługi GDR zawierają tylko te poprawki, które są szeroko rozpowszechnione, dotyczą niezwykle ważnych problemów. Składniki usługi LDR zawierają też inne poprawki, a nie tylko publicznie rozpowszechniane poprawki.
-
Pliki MANIFESTU (manifest) i pliki MUM (mum) instalowane są dla każdego środowiska są wymienione osobno w sekcji "Informacje o dodatkowych plikach dla systemów Windows 7 i Windows Server 2008 R2". Pliki MUM i pliki MANIFESTU oraz skojarzone pliki z wykazu zabezpieczeń (.cat), są bardzo ważne, aby utrzymać stan zaktualizowanych składników. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
Wszystkie obsługiwane wersje systemu Windows 7 x86
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
Dodatek SP |
Składnik usługi |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Brak |
Nie dotyczy |
Ocsprevp.dll |
6.1.7601.22705 |
151552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Wszystkie obsługiwane wersje systemów Windows 7 i Windows Server 2008 R2 z procesorami x64
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
Dodatek SP |
Składnik usługi |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Brak |
Nie dotyczy |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Brak |
Nie dotyczy |
Informacje o dodatkowych plikach dla systemu Windows 7 i Windows Server 2008 R2
Dodatkowe pliki dla wszystkich obsługiwanych wersji systemu Windows 7 z procesorami x86
Właściwości pliku |
Wartość |
---|---|
Nazwa pliku |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
720 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
13:22 |
Platforma |
Nie dotyczy |
Nazwa pliku |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
719 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
13:22 |
Platforma |
Nie dotyczy |
Nazwa pliku |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
63,628 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
07:59 |
Platforma |
Nie dotyczy |
Nazwa pliku |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
11,236 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
08:00 |
Platforma |
Nie dotyczy |
Dodatkowe pliki dla wszystkich obsługiwanych wersji systemów Windows 7 i Windows Server 2008 R2 z procesorami x 64
Właściwości pliku |
Wartość |
---|---|
Nazwa pliku |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
723 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
13:22 |
Platforma |
Nie dotyczy |
Nazwa pliku |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
721 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
13:22 |
Platforma |
Nie dotyczy |
Nazwa pliku |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
724 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
13:22 |
Platforma |
Nie dotyczy |
Nazwa pliku |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
63,632 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
08:30 |
Platforma |
Nie dotyczy |
Nazwa pliku |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
11,240 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
08:30 |
Platforma |
Nie dotyczy |
Nazwa pliku |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Wersja pliku |
Nie dotyczy |
Rozmiar pliku |
63,628 |
Data (UTC) |
30-May-2014 |
Godzina (UTC) |
07:59 |
Platforma |
Nie dotyczy |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Ta poprawka zawiera zmianę projektu, który sprawia, że obiekt odpowiadający protokołu OCSP firmy Microsoft jest świadomy wszystkich świadectw, o których są spełnione następujące warunki:
-
Są one wystawiane przez urząd certyfikacji.
-
Nie zostały odwołane.
-
Są one obecnie w ich okresu ważności.
Powiązane artykuły
Więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.