O serviço dispositivo de Resposta Online não devolve uma boa determinista para todos os certificados que não constam da CRL

Sintomas

Considere o seguinte cenário:

Tem o serviço de dispositivo de Resposta Online Microsoft instalado num servidor que esteja a executar o Windows Server 2008 R2 ou Windows Server R2 de 2012.
O servidor é utilizado para configurar e gerir a validação de Protocolo de estado de certificado Online (OCSP).

Neste cenário, o serviço dispositivo de Resposta Online não devolver um valor determinista boa para todos os certificados que não estão incluídos na lista de revogação de certificados (CRL).

Causa

Este problema ocorre porque o OCSP não verificar com uma origem confirmada que o certificado foi na realidade emitido pela sua autoridade de certificado correspondente. Em vez disso, se um certificado não está incluído na CRL, o serviço dispositivo de Resposta Online assume que o certificado é válido e devolve um valor do bem.

Resolução

Para resolver este problema no Windows 8.1 ou Windows Server R2 de 2012, instale a actualização 2967917. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft

2967917 de Julho de 2014 update rollup para o Windows RT 8.1, 8.1 do Windows e Windows Server R2 de 2012
Para resolver este problema no Windows 7 ou Windows Server 2008 R2, instale a correcção descrita na secção "Informações sobre a correcção" neste artigo.

Antes de instalar esta correcção, tem de configurar o serviço OCSP para ler os números de série que são emitidos pela autoridade de certificação. Para tal, siga os passos nesta secção para criar uma localização de directório no qual pretende guardar os ficheiros de número de série e para criar chaves de registo que apontam para este directório.

Notas

O directório pode estar localizado numa partilha de rede ou alojado num computador local. Se configurar uma configuração de matriz, recomendamos que alojam o directório numa partilha de rede para que todos os membros da matriz podem ter "ler" acesso à mesma.
Independentemente de onde se encontra no directório, certifique-se de que o serviço OCSP tem a permissão de leitura para o directório. As definições de registo não serão aplicada a qualquer Microsoft dispositivos de Resposta Online que não são corrigidos por esta correcção.

Configurar o serviço OCSP

Execute os seguintes passos no computador de autoridade de certificação para o qual configurou o serviço OCSP.

Passo 1: Estrutura de directórios

Inicie o bloco de notas e, em seguida, cole o seguinte script de exemplo num novo documento:

param(    [ValidateScript({Test-Path $_})]
    [String] $Path
)
pushd $Path
dir | foreach {
    remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
        New-Item -type File $matches[1] | out-null
     } 
}
popd

Guarde o novo documento como Certs.ps1.
Crie um directório em que ficheiros vazios que correspondem a todos os números de série emitidos devem ser armazenados.
Execute o script Certs.ps1. Para tal, execute o seguinte comando no Windows PowerShell:

Certs.ps1 < localização do directório criada no passo 3 >
Examine o directório que criou no passo 3 para se certificar de que os ficheiros correspondem aos números de série emitidos.

Nota Se tiver várias ACs alojado no seu ambiente, certifique-se de que os respectivos directórios de número de série correspondentes são diferentes. Não partilhe o mesmo directório entre ACs diferentes.
Execute o script no computador da AC e carregar o ficheiro guardado, atribuindo-lhe ACL restritivas. O ficheiro não deve ser editável. Certifique-se de que todos os computadores de dispositivo de Resposta Online Microsoft podem aceder a esta localização.

Mais informações sobre este procedimento

Dispositivo de Resposta Online Microsoft devolve um valor desconhecido para todos os certificados são emitidos, mas ainda não no ficheiro que é criado no passo 6. Este script tem de ser executada em intervalos regulares e actualizado na ordem de Resposta Online da Microsoft fornecer um estado actualizado. Esta definição de intervalo dependerá do seu ambiente de implementação específico. Recomendamos que seleccione um intervalo de tempo adequado de quatro horas para o valor da CRL próxima data de publicação.

Passo 2: registo

Aviso Poderão ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modifique o registo por sua conta e risco.

Saia de todas as aplicações do Windows.
Clique em Iniciar, clique em Executar, escreva regedite, em seguida, clique em OK.
Localize e, em seguida, seleccione a seguinte subchave de registo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
Faça clique sobre a autoridade de certificação (AC) para o qual criou a estrutura de directórios.
Fornecedordo rato, aponte para Novoe, em seguida, clique em Valor de múltiplas cadeias.
Escreva IssuedSerialNumbersDirectoriese, em seguida, prima Enter.
IssuedSerialNumbersDirectoriescom o botão direito e, em seguida, clique em Modificar.
Na caixa dados do valor , escreva o caminho para o directório criado no passo 3 do procedimento de estrutura de directório e que contém os números de série emitidos e, em seguida, clique em OK.

Para o caminho do directório, utilize o seguinte formato:

\\<computername>\<directorylocation>Por exemplo, utilize um caminho semelhante ao seguinte:

\\contoso-ocspfileserver\SerialNumbers
No menu Ficheiro , clique em Sair para sair do Editor de Registo.
Instale o pacote de correcção mencionada neste artigo.

Depois de seguir a "Estrutura do directório" e passos de "Registo", instale o pacote de correcção mencionada neste artigo.

Resultados

Depois de instalada a correcção, o serviço dispositivo de Resposta Online deverá efectuar o seguinte:

Devolver um valor de mercadoria para os certificados que são verificadas
Devolver um valor de revogado para os certificados que estão incluídos da CRL
Devolver um valor desconhecido para todos os certificados que não é possível verificar

Informações sobre correção

Uma correção suportada está disponível a partir do Suporte da Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.

Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, vá para o seguinte Web site da Microsoft:

http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Para aplicar esta correcção, tem de ter o Service Pack 1 para Windows 7 ou Windows Server 2008 R2.

Requisito de reinício

Não é necessário reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição da correção

Esta correcção não substitui qualquer correcção disponibilizada anteriormente.

A versão inglesa (Estados Unidos) desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.

Informações de ficheiro do Windows 7 e Windows Server 2008 R2 e notasImportante Correcções do Windows 7 e Windows Server 2008 R2 correcções são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 7/Windows Server 2008 R2" na página. Consulte a secção "Aplica-se aos" artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.

Os ficheiros aplicáveis a um produto específico, SR_Level (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela.

Versão	Produto	SR_Level	Ramo de serviço
6.1.760 1. 22xxx	Windows 7 e Windows Server 2008 R2	SP1	LDR

Ramos de serviço GDR contêm apenas as correcções amplamente distribuídas para resolver problemas extremamente importante generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows 7 e Windows Server 2008 R2 ficheiros adicionais". Ficheiros MUM, MANIFESTO e os ficheiros de catálogo de segurança (. cat) associados, são extremamente importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.

Para todas as versões baseadas em x86 suportadas do Windows 7

Nome do ficheiro	Versão do ficheiro	Tamanho do ficheiro	Data	Hora	Plataforma	Requisito de SP	Ramo de serviço
Certadm.dll	6.1.7601.22705	311,808	30-May-2014	07:35	x86	Nenhum	Não aplicável
Ocsprevp.dll	6.1.7601.22705	151,552	30-May-2014	07:35	x86	SPR	X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

Para todas as versões baseadas em x64 do Windows 7 e Windows Server 2008 R2 suportadas

Nome do ficheiro	Versão do ficheiro	Tamanho do ficheiro	Data	Hora	Plataforma	Requisito de SP	Ramo de serviço
Certadm.dll	6.1.7601.22705	419,840	30-May-2014	08:00	x64	Nenhum	Não aplicável
Ocsprevp.dll	6.1.7601.22705	184,832	30-May-2014	08:00	x64	SPR	AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP
Certadm.dll	6.1.7601.22705	311,808	30-May-2014	07:35	x86	Nenhum	Não aplicável

Informações sobre ficheiros adicionais para Windows 7 e Windows Server 2008 R2

Ficheiros adicionais para todas as versões baseadas em x86 suportadas do Windows 7

Propriedade de ficheiro	Valor
Nome do ficheiro	X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	720
Data (UTC)	30-May-2014
Hora (UTC)	13:22
Plataforma	Não aplicável
Nome do ficheiro	X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	719
Data (UTC)	30-May-2014
Hora (UTC)	13:22
Plataforma	Não aplicável
Nome do ficheiro	X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	63,628
Data (UTC)	30-May-2014
Hora (UTC)	07:59
Plataforma	Não aplicável
Nome do ficheiro	X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	11,236
Data (UTC)	30-May-2014
Hora (UTC)	08:00
Plataforma	Não aplicável

Ficheiros adicionais para todas as versões baseadas em x64 do Windows 7 e Windows Server 2008 R2 suportadas

Propriedade de ficheiro	Valor
Nome do ficheiro	Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	723
Data (UTC)	30-May-2014
Hora (UTC)	13:22
Plataforma	Não aplicável
Nome do ficheiro	Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	721
Data (UTC)	30-May-2014
Hora (UTC)	13:22
Plataforma	Não aplicável
Nome do ficheiro	Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	724
Data (UTC)	30-May-2014
Hora (UTC)	13:22
Plataforma	Não aplicável
Nome do ficheiro	Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	63,632
Data (UTC)	30-May-2014
Hora (UTC)	08:30
Plataforma	Não aplicável
Nome do ficheiro	Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	11,240
Data (UTC)	30-May-2014
Hora (UTC)	08:30
Plataforma	Não aplicável
Nome do ficheiro	X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest
Versão do ficheiro	Não aplicável
Tamanho do ficheiro	63,628
Data (UTC)	30-May-2014
Hora (UTC)	07:59
Plataforma	Não aplicável

Estado

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais informações

Esta correcção fornece uma alteração de concepção que torna o dispositivo de resposta de OCSP Microsoft teve conhecimento de todos os certificados sobre o qual o seguinte é verdadeiro:

Estes são emitidos pela AC.
Não são revogados.
Estão actualmente em seu próprio período de validade.

Referências

Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.