Respondente Online da Microsoft não pode atender a uma solicitação OCSP que contém vários certificados

Sintomas

No Windows Server 2012 R2 ou no Windows Server 2008 R2, você tem dois ambientes de infra-estrutura de chave pública (PKI) a seguir:

  • Um ambiente de PKI empresarial consiste em uma CA (autoridade de certificação) raiz offline e uma autoridade de certificação subordinada de empresa on-line.

  • Um (não-domínio autônomo) raiz da autoridade de certificação é usada para fins externos (não corpnet). A autoridade de certificação raiz autônoma também tem sua configuração de revogação suportada por nós empresa Respondente Online. Por exemplo, há apenas um servidor de protocolo de Status de certificados Online (OCSP) e oferece suporte a duas infra-estruturas PKI.


Nessa situação, o Respondente Online da Microsoft atende apenas às solicitações OCSP que contêm solicitações única para qualquer uma das CAs mencionado anteriormente. Se a solicitação OCSP contém várias solicitações para todas essas autoridades de certificação configuradas, Respondente Online da Microsoft não responder, embora as CAs são configurados.

Causa

Esse problema ocorre porque o Windows não é compatível com RFC 2560 x. 509 pública chave infra-estrutura on-line certificado Status do protocolo de Internet, mesmo que seja compatível com a RFC 5019 – perfil do protocolo de Status de certificados Online (OCSP) leve para ambientes de alto Volume. Portanto, o Respondente Online da Microsoft no Windows não oferece suporte a mais de um certificado em uma única solicitação OCSP.

Resolução

Para resolver esse problema, instale a atualização para o Windows Server 2012 R2 ou instalar o hotfix descrito neste artigo.

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft Support. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique-o somente para instalações de Respondente Online da Microsoft que atendem a clientes OCSP que oferecem suporte a várias solicitações. (Por exemplo, observe que um cliente do Windows não oferece suporte a várias solicitações em uma solicitação OCSP). Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contenha esse hotfix.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e Suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:

Observação: o formulário "Baixar Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.

Informações do registro:

Para habilitar esse hotfix e permitir vários certificados em uma única resposta OCSP, você deve alterar a subchave do registro:

Local do registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OCSPSvc\Responder
Nome da DWORD: MaxNumOfRequestEntries
Valor DWORD: Um valor maior que 1
Observação: A configuração padrão para o valor DWORD MaxNumOfRequestEntries é 1.

Observações adicionais

  1. Saiba mais sobre a subchave de registro . Se essa subchave não está definida corretamente, o IIS não recebe a solicitação e o HTTP. sys falhará. Além disso, logs do IIS estão vazios e é retornado um erro 400. Este problema limita o comprimento do segmento, e é necessário reiniciar o computador.

  2. Saiba mais sobre como se certificar de que os limites de solicitação de está definida corretamente para solicitações maiores. Se isso estiver configurado incorretamente, o IIS retornará o erro 404.14 e o comprimento do caminho é limitado.

  3. Há uma diferença entre a nota 1 e nota 2. Nota 1 se refere a cada segmento de caminho, enquanto nota 2 destina-se ao caminho completo.

    Por exemplo:

    http://server/ocsp/request

    • Um segmento é qualquer parte do caminho que é delimitado pelo caractere de barra invertida (/). Neste exemplo, "ocsp" e "pedido" são segmentos separados porque eles são separados pelo caractere de barra invertida.

    • Nesse caminho, /ocsp/request é o caminho.


Pré-requisitos:

Para aplicar esse hotfix, você deve ter o para Windows Server 2008 R2 instalado ou em execução no Windows Server 2012 R2.

Requisitos de reinicialização:

Você não precisa reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix:

Esse hotfix não substitui nenhum hotfix lançado anteriormente.

A versão em inglês (Estados Unidos) deste hotfix instala arquivos que possuem os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.


Observações sobre o arquivo Windows RT 8.1, para Windows 8.1 e Windows Server 2012 R2Importante do Windows 8.1 e hotfixes do Windows Server 2012 R2 estão incluídos nos mesmos pacotes. No entanto, apenas "Windows 8.1" é listado na página solicitação de Hotfix. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix listado em "Windows 8.1" na página. Sempre consulte a seção "Aplica-se a" nos artigos para determinar o sistema operacional real que cada hotfix se aplica.

  • Os arquivos que se aplicam a um produto, etapa (RTM, SPn) e ramificação do serviço (LDR, GDR) específicos podem ser identificados examinando os números de versão do arquivo, conforme exibido na seguinte tabela:

  • Os arquivos MANIFEST (.manifest) e MUM (.mum) instalados para cada ambiente não estão listados.

Status

A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".

Referências

Saiba mais sobre a usada pela Microsoft para descrever as atualizações de software.

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

×