Sintomas
Considere o seguinte cenário:
-
Tem o serviço de dispositivo de Resposta Online Microsoft instalado num servidor que esteja a executar o Windows Server 2008 R2 ou Windows Server R2 de 2012.
-
O servidor é utilizado para configurar e gerir a validação de Protocolo de estado de certificado Online (OCSP).
Neste cenário, o serviço dispositivo de Resposta Online não devolver um valor determinista boa para todos os certificados que não estão incluídos na lista de revogação de certificados (CRL).
Causa
Este problema ocorre porque o OCSP não verificar com uma origem confirmada que o certificado foi na realidade emitido pela sua autoridade de certificado correspondente. Em vez disso, se um certificado não está incluído na CRL, o serviço dispositivo de Resposta Online assume que o certificado é válido e devolve um valor do bem.
Resolução
Para resolver este problema no Windows 8.1 ou Windows Server R2 de 2012, instale a actualização 2967917. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft
2967917 de Julho de 2014 update rollup para o Windows RT 8.1, 8.1 do Windows e Windows Server R2 de 2012
Para resolver este problema no Windows 7 ou Windows Server 2008 R2, instale a correcção descrita na secção "Informações sobre a correcção" neste artigo.
Antes de instalar esta correcção, tem de configurar o serviço OCSP para ler os números de série que são emitidos pela autoridade de certificação. Para tal, siga os passos nesta secção para criar uma localização de directório no qual pretende guardar os ficheiros de número de série e para criar chaves de registo que apontam para este directório.
Notas
-
O directório pode estar localizado numa partilha de rede ou alojado num computador local. Se configurar uma configuração de matriz, recomendamos que alojam o directório numa partilha de rede para que todos os membros da matriz podem ter "ler" acesso à mesma.
-
Independentemente de onde se encontra no directório, certifique-se de que o serviço OCSP tem a permissão de leitura para o directório. As definições de registo não serão aplicada a qualquer Microsoft dispositivos de Resposta Online que não são corrigidos por esta correcção.
Configurar o serviço OCSP
Execute os seguintes passos no computador de autoridade de certificação para o qual configurou o serviço OCSP.
Passo 1: Estrutura de directórios
-
Inicie o bloco de notas e, em seguida, cole o seguinte script de exemplo num novo documento:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Guarde o novo documento como Certs.ps1.
-
Crie um directório em que ficheiros vazios que correspondem a todos os números de série emitidos devem ser armazenados.
-
Execute o script Certs.ps1. Para tal, execute o seguinte comando no Windows PowerShell:
Certs.ps1 < localização do directório criada no passo 3 >
-
Examine o directório que criou no passo 3 para se certificar de que os ficheiros correspondem aos números de série emitidos.
Nota Se tiver várias ACs alojado no seu ambiente, certifique-se de que os respectivos directórios de número de série correspondentes são diferentes. Não partilhe o mesmo directório entre ACs diferentes. -
Execute o script no computador da AC e carregar o ficheiro guardado, atribuindo-lhe ACL restritivas. O ficheiro não deve ser editável. Certifique-se de que todos os computadores de dispositivo de Resposta Online Microsoft podem aceder a esta localização.
Mais informações sobre este procedimento
Dispositivo de Resposta Online Microsoft devolve um valor desconhecido para todos os certificados são emitidos, mas ainda não no ficheiro que é criado no passo 6. Este script tem de ser executada em intervalos regulares e actualizado na ordem de Resposta Online da Microsoft fornecer um estado actualizado. Esta definição de intervalo dependerá do seu ambiente de implementação específico. Recomendamos que seleccione um intervalo de tempo adequado de quatro horas para o valor da CRL próxima data de publicação.
Passo 2: registo
Aviso Poderão ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.
-
Saia de todas as aplicações do Windows.
-
Clique em Iniciar, clique em Executar, escreva regedite, em seguida, clique em OK.
-
Localize e, em seguida, seleccione a seguinte subchave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Faça clique sobre a autoridade de certificação (AC) para o qual criou a estrutura de directórios.
-
Fornecedordo rato, aponte para Novoe, em seguida, clique em Valor de múltiplas cadeias.
-
Escreva IssuedSerialNumbersDirectoriese, em seguida, prima Enter.
-
IssuedSerialNumbersDirectoriescom o botão direito e, em seguida, clique em Modificar.
-
Na caixa dados do valor , escreva o caminho para o directório criado no passo 3 do procedimento de estrutura de directório e que contém os números de série emitidos e, em seguida, clique em OK.
Para o caminho do directório, utilize o seguinte formato:\\<computername>\<directorylocation>Por exemplo, utilize um caminho semelhante ao seguinte:
\\contoso-ocspfileserver\SerialNumbers
-
No menu Ficheiro , clique em Sair para sair do Editor de Registo.
-
Instale o pacote de correcção mencionada neste artigo.
Depois de seguir a "Estrutura do directório" e passos de "Registo", instale o pacote de correcção mencionada neste artigo.
Resultados
Depois de instalada a correcção, o serviço dispositivo de Resposta Online deverá efectuar o seguinte:
-
Devolver um valor de mercadoria para os certificados que são verificadas
-
Devolver um valor de revogado para os certificados que estão incluídos da CRL
-
Devolver um valor desconhecido para todos os certificados que não é possível verificar
Informações sobre correção
Uma correção suportada está disponível a partir do Suporte da Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.
Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, vá para o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, tem de ter o Service Pack 1 para Windows 7 ou Windows Server 2008 R2.
Requisito de reinício
Não é necessário reiniciar o computador depois de aplicar esta correcção.
Informações sobre substituição da correção
Esta correcção não substitui qualquer correcção disponibilizada anteriormente.
A versão inglesa (Estados Unidos) desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.
Informações de ficheiro do Windows 7 e Windows Server 2008 R2 e notasImportante Correcções do Windows 7 e Windows Server 2008 R2 correcções são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 7/Windows Server 2008 R2" na página. Consulte a secção "Aplica-se aos" artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
-
Os ficheiros aplicáveis a um produto específico, SR_Level (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela.
Versão
Produto
SR_Level
Ramo de serviço
6.1.760
1. 22xxxWindows 7 e Windows Server 2008 R2
SP1
LDR
-
Ramos de serviço GDR contêm apenas as correcções amplamente distribuídas para resolver problemas extremamente importante generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows 7 e Windows Server 2008 R2 ficheiros adicionais". Ficheiros MUM, MANIFESTO e os ficheiros de catálogo de segurança (. cat) associados, são extremamente importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x86 suportadas do Windows 7
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
Requisito de SP |
Ramo de serviço |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nenhum |
Não aplicável |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Para todas as versões baseadas em x64 do Windows 7 e Windows Server 2008 R2 suportadas
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
Requisito de SP |
Ramo de serviço |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Nenhum |
Não aplicável |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Nenhum |
Não aplicável |
Informações sobre ficheiros adicionais para Windows 7 e Windows Server 2008 R2
Ficheiros adicionais para todas as versões baseadas em x86 suportadas do Windows 7
Propriedade de ficheiro |
Valor |
---|---|
Nome do ficheiro |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
720 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
13:22 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
719 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
13:22 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
63,628 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
07:59 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
11,236 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
08:00 |
Plataforma |
Não aplicável |
Ficheiros adicionais para todas as versões baseadas em x64 do Windows 7 e Windows Server 2008 R2 suportadas
Propriedade de ficheiro |
Valor |
---|---|
Nome do ficheiro |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
723 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
13:22 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
721 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
13:22 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
724 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
13:22 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
63,632 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
08:30 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
11,240 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
08:30 |
Plataforma |
Não aplicável |
Nome do ficheiro |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
63,628 |
Data (UTC) |
30-May-2014 |
Hora (UTC) |
07:59 |
Plataforma |
Não aplicável |
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Esta correcção fornece uma alteração de concepção que torna o dispositivo de resposta de OCSP Microsoft teve conhecimento de todos os certificados sobre o qual o seguinte é verdadeiro:
-
Estes são emitidos pela AC.
-
Não são revogados.
-
Estão actualmente em seu próprio período de validade.
Referências
Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.