Войти

На базе Windows Server 2003 корпоративный ЦС выдает сертификаты, которые имеют неправильные альтернативных имен и сертификаты не являются защиты сетевого доступа (NAP) - совместимый

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

943089
Внимание
Исправление, описанное в данной статье Microsoft Knowledge Base заменяется исправление, описанное в KB961515.Для получения дополнительных сведений о KB961515 щелкните следующий номер статьи базы знаний Майкрософт:
961515Имя субъекта из сертификата компьютера, выданный на сервере под управлением Windows Server 2003 установлен для основного имени пользователя (UPN) учетной записи компьютера после установки исправления 943089
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Проблема
Рассмотрим описанную ниже ситуацию.:
  • Компьютер под управлением Windows Server 2003 размещен центр сертификации (ЦС) предприятия.
  • ЦС предприятия выдает сертификаты с помощью шаблона пользовательских сертификатов.
  • Для включения имени участника-пользователя (UPN) или имя участника службы (SPN) в альтернативное имя субъекта настроен шаблон сертификата.
В этом случае все сертификаты, выдаваемые при помощи настроенный шаблон имеют неправильные альтернативных имен. Альтернативное имя является именем доменных имен (DNS) вместо имени участника-пользователя или имя участника службы.

Эта проблема препятствует выдачи защиты сетевого доступа (NAP) ЦС предприятия-совместимых сертификатов.
Решение
Для решения этой проблемы установите исправление 961515.Для получения дополнительных сведений об исправлении 961515 щелкните следующий номер статьи базы знаний Майкрософт:
961515Имя субъекта из сертификата компьютера, выданный на сервере под управлением Windows Server 2003 установлен для основного имени пользователя (UPN) учетной записи компьютера после установки исправления 943089

Сведения об исправлении

Предвартельные требования

Для установки данного исправления требуется Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Server 2003 с пакетом обновления 2 (SP2), установленных на компьютере.Для получения дополнительных сведений обратитесь к следующей статье Базы Знаний Майкрософт::
889100Получение последнего пакета обновления для Windows Server 2003

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить..

Сведения о заменяемых исправлениях

Данное исправление заменено исправление 961515.

СВЕДЕНИЯ О ФАЙЛАХ

Английская версия исправления содержит версии файлов, приведенные в следующей таблице (или более поздние).. Дата и время для файлов указаны во всеобщем скоординированном времени (UTC).. При просмотре сведений о файле, время изменяется на местное.. Чтобы узнать разницу между временем по Гринвичу и местным временем,Часовой поясна вкладкеДата и времяэлемент панели управления.
Windows Server 2003 с пакетом обновления 1 x 86-разрядных версий
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформа
Certpdef.dll5.2.3790.3017118,27229 Сентября 2007 г.05: 02X86
Windows Server 2003 с пакетом обновления 2 (SP2), версии для платформы x86
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформа
Certpdef.dll5.2.3790.4161118,27229 Сентября 2007 г.05: 11X86
Windows Server 2003 с пакетом обновления 1 (SP1), версии на базе процессоров Itanium
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформаПакет обновленийНаправление поддержки
Certpdef.dll5.2.3790.3017300,03229 Сентября 2007 г.02: 53IA-64SP1Неприменимо
Wcertpdef.dll5.2.3790.3017118,27229 Сентября 2007 г.02: 53X86SP1WOW
Windows Server 2003 с пакетом обновления 2 (SP2), версии для платформы Itanium
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформаПакет обновленийНаправление поддержки
Certpdef.dll5.2.3790.4161300,03229 Сентября 2007 г.03: 16IA-64SP2.Неприменимо
Wcertpdef.dll5.2.3790.4161118,27229 Сентября 2007 г.03: 16X86SP2.WOW
Windows Server 2003, версии для платформы x64
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформаПакет обновленийНаправление поддержки
Certpdef.dll5.2.3790.3017178,68829 Сентября 2007 г.02: 53X64SP1Неприменимо
Wcertpdef.dll5.2.3790.3017118,27229 Сентября 2007 г.02: 53X86SP1WOW
Windows Server 2003 с пакетом обновления 2 (SP2), версии для платформы x64
Имя файлаВерсия файлаРазмер файла:Дата:времяПлатформаПакет обновленийНаправление поддержки
Certpdef.dll5.2.3790.4161178,68829 Сентября 2007 г.03: 18X64SP2.Неприменимо
Wcertpdef.dll5.2.3790.4161118,27229 Сентября 2007 г.03: 18X86SP2.WOW

Это исправление устраняет проблему, которая возникает, когда в шаблоне компьютере установлен флаг CT_FLAG_SUBJECT_ALT_REQUIRE_UPN. Если установлен этот флаг, модуль политики помещает имя DNS компьютера вАльтернативный имя субъекта (SAN)Field:. This is not the expected behavior. The following behavior occurs after you install the hotfix:
  • The first time, the certification authority (CA) policy module queries the explicit UPN attribute of the computer in Active Directory. If the entry in this attribute is found, this entry will be written in the certificate SAN field.
  • If no entry is found in the explicit UPN attribute of the computer, the implicit UPN is created by using thesamAccountNameActive Directory attribute together with the domain name.
Статус
Корпорация Майкрософт подтверждает, что это проблема в продуктах Майкрософт, перечисленных в разделе «Применяется к»..
Дополнительная информация
NAP is a new platform that performs the following jobs:
  • NAP performs computer health policy validation.
  • NAP guarantees ongoing compliance with health policies.
  • NAP optionally restricts the access of computers that do not comply with system health requirements until the health state of these computers can be corrected.
For more information about NAP, visit the following Microsoft TechNet Web site:Дополнительные сведения о терминах, используемых при описании обновлений программного обеспечения, см. в следующей статье базы знаний Майкрософт::
824684Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
NAP SAN alternate subject name alternative

Предупреждение: эта статья переведена автоматически

Свойства

Номер статьи: 943089 — последний просмотр: 01/15/2015 18:34:01 — редакция: 3.0

  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • kbnosurvey kbarchive kbexpertiseinter kbwinserv2003postsp2fix kbbug kbfix kbhotfixserver kbqfe kbmt KB943089 KbMtru
Отзывы и предложения