Descrição da atualização Apenas de segurança do .NET Framework 3.5.1 para Windows 7 Service Pack 1 e Windows Server 2008 R2 Service Pack 1: 9 de maio de 2017

Aviso

A modificação incorreta do Registro usando o Editor do Registro ou outro método pode causar sérios problemas. que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Todo e qualquer risco decorrente da modificação do Registro é responsabilidade do usuário.

• O EKU (Uso Avançado de Chave) está descrito na RFC 5280, na seção 4.2.1.12: Esta extensão indica uma ou mais finalidades para as quais a chave pública certificada pode ser usada, além ou no lugar das finalidades básicas indicadas na extensão de uso da chave. Por exemplo, um certificado usado para a autenticação de um cliente em um servidor deve ser configurado para Autenticação de Cliente. De maneira semelhante, um certificado usado para a autenticação de um servidor deve ser configurado para Autenticação de Servidor.
  
  Quando certificados são usados para autenticação, o autenticador examina o certificado do cliente e procura o identificador de objeto de finalidade correto em extensões de Políticas de Aplicativo. Por exemplo, o identificador de objeto para Autenticação de Cliente é 1.3.6.1.5.5.7.3.2. Quando um certificado é usado para autenticação de cliente, esse identificador de objeto deve estar presente nas extensões EKU do certificado, ou a autenticação falhará. Certificados que não têm uma extensão EKU continuam a se autenticar corretamente.
  
  Se você não conseguir acessar certificados relançados corretamente temporariamente, poderá optar por aceitar ou recusar a alteração de segurança em todas as operações do computador para evitar quaisquer efeitos de conectividade. Para fazer isso, especifique as seguintes configurações de chave do Registro, dependendo da versão do .NET Framework para a qual seu aplicativo está voltado.
  
  Método 1: Atualizando a chave do Registro (disponível para todas as versões)
  
  Observação Esta entrada do registro deve ser uma entrada DWORD.
  

  • Para processos de 32 bits em sistemas de 32 bits e processos de 64 bits em sistemas de 64 bits:
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  • Para processos de 32 bits em sistemas de 64 bits:
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@RequireCertificateEKUs=0

  Você também pode recusar a participação para cada aplicativo. As seguintes opções estão disponíveis para desabilitar essa alteração para garantir que a compatibilidade do aplicativo seja mantida.
  
  Método 2: Desabilitar a política para aplicativos individuais
  
  Observação Esta entrada do registro deve ser uma entrada DWORD. O único valor válido é 0. Qualquer outro valor é ignorado.

  • Para processos de 32 bits em sistemas de 32 bits e processos de 64 bits em sistemas de 64 bits:

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • Para processos de 32 bits em sistemas de 64 bits:

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v2.0.50727@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  Método 3: Usando a API de configuração (disponível para o .NET Framework 4.6 e versões posteriores)
  
  A partir do .NET Framework 4.6, você pode alterar a configuração em um nível de aplicativo com o uso de um código, uma configuração de aplicativo ou alterações no Registro.
  
  Configurando a opção no .NET Framework 4.6
  
  Observação Os seguintes exemplos desabilitam o recurso de segurança.

  • De forma programática
    
    A primeira coisa que o aplicativo deve fazer é executar o código a seguir. Isso ocorre porque o Service Point Manager inicializar somente uma vez.
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • Configuração do aplicativo
    
    Para alterar a configuração do aplicativo, adicione a seguinte entrada:
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • Chave do Registro (máquina global):
    

    Local no Registro: HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    Tipo: Cadeia
    Valor: "true"

  Observação Por padrão, Switch.System.Net.DontCheckCertificateEKUsName = True para todos os aplicativos .NET Framework 4.x em execução no .NET Framework 4.6 e em versões posteriores.

• Para obter mais informações sobre esta atualização de segurança no que diz respeito ao Windows 7 Service Pack 1 e ao Windows Server 2008 R2 Service Pack 1, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

  4019108  Atualização Apenas de segurança para as atualizações do 3.5.1, 4.5.2, 4.6, 4.6.1 e 4.6.2 para Windows 7 Service Pack 1 e Windows Server 2008 R2 Service Pack 1: 9 de maio de 2017