Sintomas
No Windows Server 2008, você está tentando gerenciar certificados de protocolo de registro de certificado simples (SCEP) usando a rede dispositivo registro serviço NDES. O NDES é instalado como parte dos serviços de certificados do Windows Server 2008. Nesse cenário, você enfrentar os seguintes problemas:
Problema 1
Senhas não podem ser reutilizadas entre dispositivos.
Um dispositivo com base no protocolo SCEP, é necessário enviar uma senha quando ele solicita um certificado de um servidor de protocolo SCEP pela primeira vez. O servidor do protocolo SCEP emite um certificado depois de validar a senha.
O processo pelo qual o servidor do protocolo SCEP emite um certificado depois de validar a senha é a seguinte:
-
O administrador faz logon em um site de administração do protocolo SCEP e solicita uma senha.
-
O servidor do protocolo SCEP gera uma senha aleatória, armazena em cache e, em seguida, exibe a senha para o administrador.
-
O administrador configura a senha do dispositivo.
-
O dispositivo envia esta senha na sua solicitação inicial de um certificado.
Observação: A senha expira em 60 minutos. -
O servidor emite o certificado e, em seguida, remove a senha do cache. A senha não pode ser usada por outros dispositivos.
Problema 2
Protocolo SCEP certificados não podem ser registrados novamente automaticamente depois que elas expirarem.
Devido a esses dois problemas, ele levará os administradores muito tempo a solicitação de senhas para todos os dispositivos e aplicar certificados do protocolo SCEP a eles.
Resolução
Para resolver esses dois problemas, instale o hotfix 959193. Esse hotfix introduz os aprimoramentos a seguir:
Melhoria 1
Depois de aplicar esse hotfix, as senhas podem ser reutilizadas entre dispositivos. O novo processo para gerenciar senhas é a seguinte:
-
O servidor do protocolo SCEP confirma a configuração do registro para o modo "Senha". Nesse modo, uma senha mestre é criada e armazenada no registro usando dados criptografados. A mestre a senha nunca expira.
-
Um administrador faz logon em um site de administração do protocolo SCEP e solicita uma senha. A senha mestra é entregue.
-
O administrador configura a senha do dispositivo. Como a senha é a mesma para todos os dispositivos e nunca expira, o administrador pode facilmente escrever um script para implantar a senha em todos os dispositivos.
Como ativar o aperfeiçoamento 1
Importante: essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Dados de Conhecimento da Microsoft:
322756 como fazer backup e restaurar o registro no Windows
Para habilitar esse recurso, crie a seguinte entrada do registro:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Observação: Se você estiver executando o NDES sob a conta Serviço de rede, você deve conceder permissão de controle total para a conta "Serviço de rede" sob a seguinte subchave do registro: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
Melhoria 2
Certificados podem ser registrados novamente automaticamente depois que elas expirarem. Esse recurso é habilitado automaticamente depois que o hotfix for instalado.
Por padrão, quando você solicitar uma renovação de certificado com esse recurso, o certificado do signatário deve ter o mesmo nome de assunto e o nome de entidade alternativo como o certificado solicitado. Para contornar esse requisito, defina o valor da entrada do registro DisableRenewalSubjectNameMatch sob a seguinte subchave para 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Observação: Você talvez precise criar essa entrada do registro por meio do tipo REG_DWORD se a entrada do registro não existe.
Informações sobre o hotfix
Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente nos sistemas que estiverem enfrentando o problema descrito neste artigo. Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contenha esse hotfix.
Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.
Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportObservação: o formulário "Baixar Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.
Os hotfixes do Windows Vista e Windows Server 2008 importantes estão incluídos nos pacotes para o mesmos. No entanto, apenas um desses produtos pode estar listado na página "Solicitação de Hotfix". Para solicitar o pacote de hotfix que se aplica ao Windows Vista e Windows Server 2008, basta selecionar o produto que está listado na página.
Pré-requisitos:
Não existem pré-requisitos.
Requisitos de reinicialização:
Você precisa reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix:
Esse hotfix não substitui outros hotfixes lançados anteriormente.
Informações sobre o arquivo:
A versão em inglês deste hotfix possui os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas na Hora Universal Coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para localizar a diferença entre o UTC e a hora local, use a guia Fuso Horário no item Data e Hora no Painel de Controle.
Observações sobre o arquivo Windows Server 2008
Os arquivos. manifest e. mum instalados em cada ambiente são listados separadamente na seção "informações de arquivo adicionais para Windows Server 2008". Esses arquivos e seus arquivos associados. cat (catálogo de segurança) são importantes para manter o estado do componente atualizado. Os arquivos. cat são assinados com uma assinatura digital da Microsoft. Os atributos desses arquivos de segurança não são listados.
Para todas as versões compatíveis baseadas em x86 do Windows Server 2008
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
Para todas as versões compatíveis baseadas em x64 do Windows Server 2008
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Para obter mais informações sobre o protocolo SCEP, visite o seguinte Web site de rascunhos da Internet (IETF) do site:
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Observe que este documento irá expirar em 25 de julho de 2009. Para obter informações após esta data, procure por "Protocolo SCEP" na home page do site da Web.
A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.
Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
824684 descrição da terminologia padrão usada para descrever as atualizações de software
Informações sobre arquivo adicional para Windows Server 2008
Para todas as versões compatíveis baseadas em x86 do Windows Server 2008
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Não aplicável |
13,172 |
18-Jan-2009 |
01:10 |
Não aplicável |
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Não aplicável |
1,423 |
18-Jan-2009 |
01:10 |
Não aplicável |
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Não aplicável |
13,647 |
18-Jan-2009 |
01:10 |
Não aplicável |
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Não aplicável |
1,431 |
18-Jan-2009 |
01:10 |
Não aplicável |
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
Não aplicável |
43,475 |
17-Jan-2009 |
07:10 |
Não aplicável |
Para todas as versões compatíveis baseadas em x64 do Windows Server 2008
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
Não aplicável |
43,505 |
17-Jan-2009 |
09:42 |
Não aplicável |
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Não aplicável |
13,284 |
18-Jan-2009 |
01:10 |
Não aplicável |
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Não aplicável |
1,431 |
18-Jan-2009 |
01:10 |
Não aplicável |
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Não aplicável |
13,763 |
18-Jan-2009 |
01:10 |
Não aplicável |
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Não aplicável |
1,439 |
18-Jan-2009 |
01:10 |
Não aplicável |