Sintomas
Considere o seguinte cenário:
-
Você tem o serviço Respondente Online da Microsoft instalado em um servidor que esteja executando o Windows Server 2008 R2 ou o Windows Server 2012 R2.
-
O servidor é usado para configurar e gerenciar a validação do Protocolo de Status de certificados Online (OCSP).
Nesse cenário, o serviço Respondente Online não retornar um valor determinístico do BOM para todos os certificados que não estão incluídos na lista de revogação de certificados (CRL).
Causa
Esse problema ocorre porque o OCSP não verificar com uma fonte confirmada que o certificado foi emitido, na verdade, por sua autoridade de certificação correspondente. Em vez disso, se um certificado não estiver incluído na CRL, o serviço Respondente Online pressupõe que o certificado é válido e retorna um valor de mercadoria.
Resolução
Para resolver esse problema no Windows 8.1 ou o Windows Server 2012 R2, instale a atualização 2967917. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
2967917 julho de 2014 cumulativo para o Windows RT 8.1, 8.1 para Windows e Windows Server 2012 R2
Para resolver esse problema no Windows 7 ou Windows Server 2008 R2, instale o hotfix descrito na seção "Informações de Hotfix" neste artigo.
Antes de instalar esse hotfix, você deve configurar o serviço OCSP para ler os números de série são emitidos pela autoridade de certificação. Para fazer isso, siga as etapas nesta seção para criar um local de diretório no qual salvar os arquivos de número de série e para criar chaves no registro que apontam para esse diretório.
Observações:
-
O diretório pode ser localizado em um compartilhamento de rede ou hospedado em um computador local. Se você definir uma configuração de matriz, recomendamos que você hospeda o diretório em um compartilhamento de rede para que todos os membros da matriz podem ter "ler" acesso a ele.
-
Independentemente de onde está localizada a pasta, certifique-se de que o serviço OCSP tem a permissão de leitura para o diretório. As configurações do registro não se aplicará a qualquer Respondentes Online da Microsoft que não são corrigidos por esse hotfix.
Configurar o serviço OCSP
Execute as seguintes etapas no computador de autoridade de certificação para a qual você configurou o serviço OCSP.
Etapa 1: Estrutura de diretórios
-
Inicie o bloco de notas e, em seguida, cole o seguinte script de exemplo em um novo documento:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Salve o novo documento como Certs.ps1.
-
Crie um diretório no qual arquivos vazios que correspondem a todos os números de série emitidos serão armazenados.
-
Execute o script Certs.ps1. Para fazer isso, execute o seguinte comando no Windows PowerShell:
< Local do diretório criado no passo 3 > Certs.ps1
-
Examine o diretório que você criou na etapa 3 para certificar-se de que os arquivos correspondem aos números de série emitidos.
Observação: Se você tiver várias CAs hospedado em seu ambiente, certifique-se de que seus diretórios de número de série correspondente são diferentes. Não compartilham o mesmo diretório entre CAs diferentes. -
Execute o script no computador da autoridade de certificação e carregar o arquivo salvo, dando a ela ACLs restritas. O arquivo não deve ser editável. Certifique-se de que todos os computadores do Respondente Online da Microsoft podem acessar este local.
Para obter mais informações sobre esse procedimento
Respondente Online da Microsoft retorna um valor desconhecido para todos os certificados que são emitidos, mas ainda não no arquivo criado na etapa 6. Este script deve ser executado em intervalos regulares e atualizado na ordem para o Respondente Online da Microsoft fornecer um status atualizado. Esta configuração de intervalo dependerá de seu ambiente de implantação específicas. Recomendamos que você selecione um intervalo adequado em qualquer lugar de quatro horas para o valor da próxima CRL data de publicação.
Etapa 2: registro
Aviso: Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.
-
Feche todos os aplicativos do Windows.
-
Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
-
Localize e selecione a seguinte subchave do registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Clique a autoridade de certificação (CA) para o qual você criou a estrutura de diretório.
-
Clique com botão direito Provedor de nó, aponte para novoe, em seguida, clique em Valor de sequência múltipla.
-
Digite IssuedSerialNumbersDirectoriese pressione Enter.
-
Clique com o botão IssuedSerialNumbersDirectoriese, em seguida, clique em Modificar.
-
Na caixa dados do valor , digite o caminho para o diretório que você criou na etapa 3 do procedimento de estrutura de diretório e que contém os números de série emitidos e, em seguida, clique em OK.
O caminho de diretório, use o seguinte formato:\\<computername>\<directorylocation>Por exemplo, use um caminho semelhante ao seguinte:
\\contoso-ocspfileserver\SerialNumbers
-
No menu Arquivo , clique em Sair para sair do Editor do Registro.
-
Instale o pacote de hotfix mencionado neste artigo.
Depois que você seguir as etapas de "Registro" e "Directory structure", instale o pacote de hotfix mencionado neste artigo.
Resultados
Depois que o hotfix for instalado, o serviço Respondente Online deve fazer o seguinte:
-
Retornar um valor de mercadoria para os certificados que são verificados
-
Retornar um valor de revogado para os certificados que são incluídos na CRL
-
Retornar um valor desconhecido para todos os outros certificados não podem ser verificadas
Informações sobre o hotfix
Um hotfix suportado está disponível no Microsoft Support. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente nos sistemas que estiverem enfrentando o problema descrito neste artigo. Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contenha esse hotfix.
Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.
Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e Suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportObservação: o formulário "Baixar Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.
Pré-requisitos:
Para aplicar esse hotfix, você deve ter o Service Pack 1 para o Windows 7 ou Windows Server 2008 R2 instalado.
Requisitos de reinicialização:
Você não precisa reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix:
Esse hotfix não substitui nenhum hotfix lançado anteriormente.
A versão em inglês (Estados Unidos) deste hotfix instala arquivos que possuem os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.
Notas e informações de arquivo do Windows 7 e do Windows Server 2008 R2Importante: os hotfixes do Windows 7 e Windows Server 2008 R2 estão incluídos nos mesmos pacotes. No entanto, os hotfixes na página solicitação de Hotfix estão listados em ambos os sistemas operacionais. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 7/Windows Server 2008 R2" na página. Sempre consulte a seção "Aplicar a" nos artigos para determinar o sistema operacional real que cada hotfix se aplica.
-
Os arquivos que se aplicam a um produto específico, SR_Level (RTM, SPn) e ramificação do serviço (LDR, GDR) podem ser identificados ao examinar os números de versão do arquivo conforme mostrado na tabela a seguir:
Versão
Produto
SR_Level
Ramificação do serviço
6.1.760
1. 22xxxWindows 7 e Windows Server 2008 R2
SP1
LDR
-
As ramificações do serviço GDR contêm somente as correções amplamente disponibilizadas para resolver problemas extremamente importantes e bastante conhecidos. As ramificações do serviço LDR contém hotfixes, além de correções amplamente disponibilizadas.
-
Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "Informações adicionais sobre arquivos para Windows 7 e Windows Server 2008 R2". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas são extremamente importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões compatíveis do Windows 7 x86
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
Requisito de SP |
Ramificação do serviço |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nenhum |
Não aplicável |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Para todas as versões compatíveis baseadas em x64 do Windows 7 e Windows Server 2008 R2
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
Requisito de SP |
Ramificação do serviço |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Nenhum |
Não aplicável |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nenhum |
Não aplicável |
Informações sobre arquivo adicional para o Windows 7 e para o Windows Server 2008 R2
Arquivos adicionais para todas as versões compatíveis do Windows 7 x86
|
Propriedade de arquivo |
Valor |
|---|---|
|
Nome do Arquivo |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
720 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
719 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
63,628 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
07:59 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
11,236 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
08:00 |
|
Plataforma |
Não aplicável |
Arquivos adicionais para todas as versões compatíveis baseadas em x64 do Windows 7 e Windows Server 2008 R2
|
Propriedade de arquivo |
Valor |
|---|---|
|
Nome do Arquivo |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
723 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
721 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
724 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
13:22 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
63,632 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
08:30 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
11,240 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
08:30 |
|
Plataforma |
Não aplicável |
|
Nome do Arquivo |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versão do arquivo |
Não aplicável |
|
Tamanho do arquivo |
63,628 |
|
Data (UTC) |
30-May-2014 |
|
Hora (UTC) |
07:59 |
|
Plataforma |
Não aplicável |
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Esse hotfix fornece uma alteração de design que torna o Respondente OCSP Microsoft ciente de todos os certificados, sobre o qual o seguinte for verdadeiro:
-
Eles são emitidos pela autoridade de certificação.
-
Eles não são revogados.
-
Eles estão no momento em seu próprio período de validade.
Referências
Saiba mais sobre a terminologia usada pela Microsoft para descrever as atualizações de software.
