Симптомы
Рассмотрим следующий сценарий:
-
У вас установлена на сервере под управлением Windows Server 2008 R2 или Windows Server 2012 R2 службы сетевого ответчика Microsoft.
-
Сервер используется для настройки и управления проверки Протокол OCSP (OCSP).
В этом случае службы сетевого ответчика не возвращает значение детерминированные хорошо ПОДХОДИТ для всех сертификатов, которые не включены в список отзыва сертификатов (CRL).
Причина
Эта проблема возникает, поскольку OCSP с подтвержденной источником центром сертификации его соответствующим действительности выдан сертификат. Вместо этого, если сертификат не включен в список отзыва Сертификатов, службы сетевого ответчика предполагает, что сертификат является допустимым и возвращает значение ХОРОШЕГО.
Решение
Для решения этой проблемы в Windows Server 2012 R2 или Windows 8.1, установите обновление 2967917. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
2967917 июля 2014 накопительный пакет обновления для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2
Для решения этой проблемы в Windows 7 или Windows Server 2008 R2, установите исправление, описанное в разделе «Сведения об исправлении» в этой статье.
Перед установкой данного исправления необходимо настроить службу OCSP считывать серийные номера, выдаваемые центром сертификации. Чтобы сделать это, следуйте инструкциям этого раздела, чтобы создать каталог, в котором нужно сохранить файлы серийный номер и создание разделов реестра, которые указывают на этот каталог.
Примечания
-
Каталог могут находится на общем сетевом ресурсе или на локальном компьютере. Если конфигурацией массива, рекомендуется разместить каталог на общем сетевом ресурсе, чтобы все элементы массива могут «читать» доступ к нему.
-
Независимо от того, где находится каталог убедитесь, что служба OCSP имеет разрешение чтения в каталоге. Параметры реестра не применяется для любые сетевые ответчики Майкрософт, не исправлять данное исправление.
Настройка службы OCSP
Выполнить следующие действия на компьютере центра сертификации, для которого настроена служба OCSP.
Шаг 1: Структура каталогов
-
Запустите Блокнот и вставьте приведенный ниже сценарий в новый документ:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Сохраните новый документ как Certs.ps1.
-
Создайте каталог, в котором пустые файлы, которые соответствуют все выданные серийные номера должны быть сохранены.
-
Запустите сценарий Certs.ps1. Чтобы сделать это, выполните следующую команду в Windows PowerShell:
Certs.ps1 < расположение каталога, созданного на шаге 3 >
-
Просмотрите каталог, созданный на шаге 3, чтобы убедиться в том, что файлы соответствуют выданных серийных номеров.
Примечание. При наличии нескольких центров сертификации, размещенных в среде, убедитесь в том, что их каталоги серийного номера отличаются. Не находятся в одном каталоге, между различными центрами сертификации. -
Сценарий на компьютере ЦС и загрузите сохраненный файл, дав строгие списки ACL. Не следует редактировать файл. Убедитесь, что все компьютеры сетевой ответчик корпорации Майкрософт можно получить доступ к это расположение.
Дополнительные сведения об этой процедуре
Сетевой ответчик корпорации Майкрософт возвращает значение UNKNOWN все сертификаты, выпущенные, но еще не в файл, созданный на шаге 6. Этот сценарий необходимо запустить через регулярные интервалы времени и чтобы сетевой ответчик корпорации Майкрософт для предоставления текущее состояние обновления. Этот параметр интервал будет зависеть от конкретного развертывания среды. Рекомендуется выбрать подходящий интервал в любом из четырех часов значение Следующего Дата публикации.
Шаг 2: реестр
Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует, что эти проблемы можно решить. Вносите изменения в реестр на ваш собственный риск.
-
Закройте все приложения Windows.
-
Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
-
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Выберите центр сертификации (ЦС), для которого создается структура каталогов.
-
Щелкните правой кнопкой мыши Узел поставщика, выберите Создатьи щелкните Мультистроковый параметр.
-
Введите IssuedSerialNumbersDirectoriesи нажмите клавишу ВВОД.
-
Щелкните правой кнопкой мыши IssuedSerialNumbersDirectoriesи выберите команду Изменить.
-
В поле значение введите путь каталог, созданный на шаге 3 процедуры структуры каталога, содержащий выданный серийные номера и нажмите кнопку ОК.
Путь к каталогу используйте следующий формат:\\<computername>\<directorylocation>Например можно используйте путь, похожее на следующее:
\\contoso-ocspfileserver\SerialNumbers
-
В меню Файл выберите команду Выход для выхода из редактора реестра.
-
Установите исправление, описанное в данной статье.
После выполнения «Структура каталогов» и «Реестр» шаги, установите исправление, описанное в данной статье.
Результаты
После установки исправления службы сетевого ответчика необходимо сделать следующее.
-
Возвращаемое значение хорошее для сертификатов, которые проверяются
-
Возвращает значение ОТОЗВАННЫМИ, включенных в список ОТЗЫВА сертификатов
-
Возвращают значение UNKNOWN для всех сертификатов, которые не могут быть проверены
Сведения об исправлении
Доступно исправление от службы поддержки Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы просмотреть полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления необходимо иметь Пакет обновления 1 для Windows 7 или Windows Server 2008 R2 установлен.
Необходимость перезагрузки
Не требуется перезагружать компьютер после установки данного исправления.
Сведения о замене исправлений
Это исправление не заменяет все ранее выпущенные исправления.
Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Информация о файлах для Windows 7 и Windows Server 2008 R2 и примечанияВажно. Исправления для Windows Server 2008 R2 и Windows 7 включены в одни и те же пакеты. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Чтобы запросить пакет исправления, который применяется к одной или обеим ОС, установите исправление, описанное в разделе "Windows 7/Windows Server 2008 R2" страницы. Всегда обращайтесь к разделу «Применяется к» в статьи для определения фактических операционной системы, к которому применяется каждое исправление.
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице.
Версия
Продукт
SR_Level
Направление поддержки
6.1.760
1. 22xxxWindows 7 и Windows Server 2008 R2
SP1
LDR
-
Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных крайне важных проблем. В обновления LDR входят также специализированные исправления.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах для Windows 7 и Windows Server 2008 R2". Файлы MUM и MANIFEST, а также связанные файлы каталога безопасности (CAT) чрезвычайно важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 86-разрядных версий Windows 7
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
Требования к пакету обновления |
Направление поддержки |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Нет |
Неприменимо |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Для всех поддерживаемых 64-разрядных версий Windows 7 и Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
Требования к пакету обновления |
Направление поддержки |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Нет |
Неприменимо |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Нет |
Неприменимо |
Сведения о дополнительных файлах для Windows 7 и Windows Server 2008 R2
Дополнительные файлы для всех поддерживаемых 86-разрядных версий Windows 7
|
Свойства файла |
Значение |
|---|---|
|
Имя файла |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
720 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
13:22 |
|
Платформа |
Неприменимо |
|
Имя файла |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
719 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
13:22 |
|
Платформа |
Неприменимо |
|
Имя файла |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
63,628 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
07:59 |
|
Платформа |
Неприменимо |
|
Имя файла |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
11,236 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
08:00 |
|
Платформа |
Неприменимо |
Дополнительные файлы для всех поддерживаемых версий x64 под управлением Windows 7 и Windows Server 2008 R2
|
Свойства файла |
Значение |
|---|---|
|
Имя файла |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
723 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
13:22 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
721 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
13:22 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
724 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
13:22 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
63,632 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
08:30 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
11,240 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
08:30 |
|
Платформа |
Неприменимо |
|
Имя файла |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
63,628 |
|
Дата (UTC) |
30-May-2014 |
|
Время (UTC) |
07:59 |
|
Платформа |
Неприменимо |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Это исправление обеспечивает изменение макета, который делает ответчик OCSP корпорации Майкрософт известно о всех сертификатов, о которых верно следующее:
-
Они выдаются центром сертификации.
-
Они не были отозваны.
-
Они находятся в настоящее время в их срок действия.
Ссылки
Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.
