Simptome
Să luăm în considerare următorul scenariu:
-
Aveți Serviciul Microsoft Online răspuns instalat pe un server care execută Windows Server 2008 R2 sau Windows Server 2012 R2.
-
Serverul este utilizat pentru configurarea și gestionarea validare Online Certificate Status Protocol (OCSP).
În acest scenariu, serviciul Online de răspuns nu returnează o valoare determinat de bună pentru toate certificatele care nu sunt incluse în lista de certificate revocate (LCR).
Cauza
Această problemă apare deoarece OCSP nu a verificat cu o sursă confirmat că certificatul fapt s-a emis de autoritatea certificatul corespunzător. În schimb, dacă un certificat nu este inclus în LCR, serviciul Online de răspuns presupune că certificatul este valabil și returnează o valoare de bună.
Rezolvare
Pentru a rezolva această problemă în Windows 8.1 sau Windows Server 2012 R2, instalați actualizarea 2967917. Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:
2967917 iulie 2014 pachetul de actualizare pentru Windows RT 8.1, Windows 8.1 şi Windows Server 2012 R2
Pentru a rezolva această problemă în Windows 7 sau Windows Server 2008 R2, instalaţi remedierea rapidă descrisă în secțiunea "Informații despre remedierea rapidă" din acest articol.
Înainte de a instala această remediere rapidă, trebuie să configurați serviciul OCSP pentru a citi numerele de serie, care sunt emise de către autoritatea de certificare. Pentru aceasta, urmați pașii din această secțiune pentru a crea o locație de Director în care să salvați fișiere de numărul de serie și pentru a crea cheile de registry care fac referire la acest director.
Note
-
Directorul poate fi aflat pe o partajare de rețea sau găzduit pe un computer local. Dacă ați configurat o serie de configurare, vă recomandăm gazdă Director de pe o partajare de rețea, astfel încât toate matrice membri poate avea "citit" acces la el.
-
Indiferent unde directorul se află, asigurați-vă că serviciul OCSP are permisiunea de citire a directorului. Setările de registry nu se aplică niciun răspuns Online Microsoft, care nu sunt patch-uri de această remediere rapidă.
Configurarea serviciului OCSP
Executați pașii următori pe computerul autoritate de certificare pentru care ați configurat serviciul OCSP.
Pasul 1: Structura de directoare
-
Porniți Notepad, și apoi lipiți următorul script mostră într-un document nou:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Salvați documentul nou ca Certs.ps1.
-
Creați un director în care fișierele goală care corespund toate numerele de serie emise sunt pentru a fi stocate.
-
Executați scriptul Certs.ps1. Pentru aceasta, executaţi următoarea comandă în Windows PowerShell:
Certs.ps1 < locație Director creat în Pasul 3 >
-
Examinați directorul pe care l-ați creat în Pasul 3 pentru a vă asigura că fișierele corespund emise numerele de serie.
Notă Dacă aveți mai multe CAs găzduit în mediul dvs., asigurați-vă că lor corespunzătoare numărul de serie directoare diferite. Nu se partajează același director între diferite CAs. -
Executați scriptul pe CA computer și încărca fişierul salvat oferindu-l ACL-uri restrictivă. Fișierul nu ar trebui să fie editabile. Asigurați-vă că toate computerele Microsoft Online răspuns puteți accesa această locație.
Mai multe informații despre această procedură
Microsoft Online răspuns returnează o valoare de necunoscut a tuturor certificatelor care sunt emise, dar nu sunt încă în fișierul pe care este creat în Pasul 6. Acest script trebuie să executați într-o perioadă obișnuită și reîmprospătate în ordine pentru Microsoft Online răspuns pentru a furniza o stare la zi. Această setare interval va depinde de mediul dvs. specifice de implementare. Vă recomandăm să selectați un interval potrivit oriunde din patru ore la valoarea LCR următoarea dată de publicare.
Pasul 2: Registry
Avertisment Pot apărea probleme grave dacă modificați incorect registry utilizând Registry Editor sau altă metodă. Aceste probleme pot necesita reinstalarea sistemului de operare. Microsoft nu poate garanta că aceste probleme pot fi remediate. Modificați registry pe propriul risc.
-
Închideți toate aplicațiile Windows.
-
Faceți clic pe Start, faceți clic pe executare, tastați regedit, și apoi faceți clic pe OK.
-
Găsiți, apoi selectați următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Faceți clic pe autoritatea de certificare (CA) pentru care ați creat structura de Director.
-
Faceți clic dreapta pe Nodul furnizor, indicați spre nouși apoi faceți clic pe Multi-String Value.
-
Tastați IssuedSerialNumbersDirectoriesși apoi apăsați Enter.
-
Faceți clic dreapta pe IssuedSerialNumbersDirectoriesși apoi faceți clic pe Modify.
-
În caseta Value data , tastați calea către directorul creat în Pasul 3 al procedurii de structura de Director și care conține emise numerele de serie, și apoi faceți clic pe OK.
Pentru calea directorului, utilizați următorul format:\\<computername>\<directorylocation>De exemplu, utilizați o cale care seamănă cu următorul:
\\contoso-ocspfileserver\SerialNumbers
-
În meniul fișier , faceți clic pe Exit pentru a ieși din Registry Editor.
-
Instalați pachetul de remediere rapidă care este menționată în acest articol.
După ce urmați "Structura de Director" și "Registry" pași, instalați pachetul de remediere rapidă care este menționată în acest articol.
Rezultate
După instalarea remedierii rapide, serviciul Online de răspuns trebuie să procedați astfel:
-
Returnează o valoare de bună pentru certificate care sunt verificate
-
Returnează o valoare anulate pentru certificate care sunt incluse în LCR
-
Returnează o valoare necunoscut pentru toate celelalte certificate care nu poate fi verificată
Informații despre remedierea rapidă
O remediere rapidă este disponibilă de la Microsoft Support. Cu toate acestea, această remediere rapidă este destinată pentru a corecta doar problema descrisă în acest articol. Aplicați această remediere rapidă numai pentru sistemele care întâmpină problema descrisă în acest articol. Această remediere rapidă poate să necesite testare suplimentară. De aceea, dacă nu sunteți grav afectat de această problemă, vă recomandăm să aşteptaţi următoarea actualizare software care conţine această remediere rapidă.
Dacă remedierea rapidă este disponibilă pentru descărcare, există o secțiune "Descărcare remediere rapidă disponibilă" în partea de sus a acestui articol din baza de cunoștințe. Dacă nu apare această secţiune, contactaţi Microsoft Client Service și suport pentru a obţine remedierea rapidă.
Notă Dacă se produc probleme suplimentare sau este necesară depanarea, poate fi necesar să creați o solicitare de asistenţă separată. Costurile de obicei pentru suport se vor aplica pentru sprijin suplimentar, întrebări și probleme care nu sunt specifice pentru această remediere rapidă . Pentru o listă completă cu numerele de telefon ale clienților servicii și asistență Microsoft sau pentru a crea o solicitare de asistenţă separată, accesați următorul site Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNotă Formularul "Descărcare remediere rapidă disponibilă" afişează limbile pentru care este disponibilă remedierea rapidă. Dacă nu vedeți limba dvs., înseamnă că o remediere rapidă nu este disponibilă pentru respectiva limbă.
Cerințe preliminare
Pentru a aplica această remediere rapidă, trebuie să aveți pachetul Service Pack 1 pentru Windows 7 sau Windows Server 2008 R2 instalat.
Cerinţă de repornire
Nu trebuie să reporniți computerul după aplicarea acestei remedieri rapide.
Informații despre înlocuirea remedierilor rapide
Această remediere rapidă nu înlocuiește nicio remediere rapidă lansată anterior.
Versiunea în limba engleză (Statele Unite) a acestei remedieri rapide instalează fișierele care au atributele enumerate în tabelele următoare. Datele şi orele pentru aceste fişiere sunt exprimate în Timpul universal (UTC). Datele și orele pentru aceste fișiere pe computerul local sunt afișate în ora locală, luându-se în calcul decalajul actual pentru ora de vară (DST). În plus, datele şi orele se pot modifica atunci când efectuaţi anumite operaţiuni asupra fişierelor.
Note și informații despre fișier Windows 7 și Windows Server 2008 R2Important Remedierile rapide pentru Windows 7 și Windows Server 2008 R2 sunt incluse în aceleași pachete. Cu toate acestea, remedierile rapide de pe pagina Solicitare remediere rapidă sunt listate sub ambele sisteme de operare. Pentru a solicita pachetul de remediere rapidă care se aplică la unul sau ambele sisteme de operare, selectați remedierea rapidă listată în pagină sub "Windows 7/Windows Server 2008 R2". Consultați întotdeauna secțiunea "Se aplică la" din articole pentru a determina sistemul de operare care se aplică fiecare remediere rapidă.
-
Fișierele care se aplică la un anumit produs, SR_Level (RTM, SPn), și ramură de servicii (LDR, GDR) pot fi identificate examinând numerele de versiune ale fișierelor, așa cum se arată în tabelul următor.
Versiune
Produs
SR_Level
Ramură de servicii
6.1.760
1. 22xxxWindows 7 și Windows Server 2008 R2
SP1
LDR
-
Ramurile de servicii GDR conțin numai acele remedieri care sunt lansate la adresa pe scară largă, extrem de importante probleme. Ramurile de servicii LDR conțin remedieri rapide, în plus faţă de remedierile lansate global.
-
Fişierele MANIFEST (.manifest) și MUM (.mum) care sunt instalate pentru fiecare mediu sunt listate separat în secțiunea "Informații pentru Windows 7 și Windows Server 2008 R2 suplimentare de fișier". MUM şi MANIFEST fișiere și fișierele catalog (.cat) de securitate asociate, sunt foarte importante pentru menținerea stării componentelor actualizate. Fişierele catalog de securitate, pentru care nu sunt listate atributele, sunt semnate cu o semnătură digitală Microsoft.
Pentru toate versiunile de Windows 7 x86 acceptate
|
Nume de fișier |
Versiune fișier |
Dimensiune fișier |
Data |
Ora |
Platformă |
Cerințe SP |
Ramură de servicii |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
None |
Nu se aplică |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Pentru toate versiunile pe 64 de biți de Windows 7 și Windows Server 2008 R2 acceptate
|
Nume de fișier |
Versiune fișier |
Dimensiune fișier |
Data |
Ora |
Platformă |
Cerințe SP |
Ramură de servicii |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
None |
Nu se aplică |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
None |
Nu se aplică |
Informații suplimentare despre fișiere pentru Windows 7 și Windows Server 2008 R2
Fișiere suplimentare pentru toate versiunile de Windows 7 x86 acceptate
|
Proprietate fișier |
Valoare |
|---|---|
|
Nume de fișier |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
720 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
13:22 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
719 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
13:22 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
63,628 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
07:59 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
11,236 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
08:00 |
|
Platformă |
Nu se aplică |
Fișiere suplimentare pentru toate versiunile bazate pe x64 acceptate de Windows 7 și Windows Server 2008 R2
|
Proprietate fișier |
Valoare |
|---|---|
|
Nume de fișier |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
723 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
13:22 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
721 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
13:22 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
724 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
13:22 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
63,632 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
08:30 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
11,240 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
08:30 |
|
Platformă |
Nu se aplică |
|
Nume de fișier |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Versiune fișier |
Nu se aplică |
|
Dimensiune fișier |
63,628 |
|
Data (UTC) |
30-May-2014 |
|
Ora (UTC) |
07:59 |
|
Platformă |
Nu se aplică |
Stare
Microsoft a confirmat că aceasta este o problemă cu produsele Microsoft enumerate în secţiunea „Se aplică la".
Mai multe informații
Această remediere rapidă furnizează o modificare de proiectare care efectuează Microsoft OCSP răspuns atenție tuturor certificatelor despre care următoare este adevărată:
-
Acestea sunt emise de CA.
-
Ele nu sunt revocat.
-
Acestea sunt în prezent în propriul lor perioada de valabilitate.
Referințe
Aflați despre terminologia utilizată de Microsoft pentru a descrie actualizările de software.
