Príznaky
Predstavte si nasledujúcu situáciu:
-
Máte Microsoft Online Responder služby nainštalovaný na serveri so systémom Windows Server 2008 R2 alebo Windows Server 2012 R2.
-
Server sa používa na konfiguráciu a správu overenie Online Certificate Status Protocol (OCSP).
V tomto scenári, Online Responder služby nevráti hodnotu deterministické dobrý všetky certifikáty, ktoré nie sú zahrnuté v certifikáty odvolanie zoznam zrušených certifikátov.
Príčina
Tento problém sa vyskytuje, pretože OCSP neoveruje s zdroj potvrdenú certifikát vydaný skutočne jeho zodpovedajúce certifikačnou autoritou. Namiesto toho, ak certifikát nie je zahrnutá do zoznamu zrušených certifikátov, Online Responder služby predpokladá, že certifikát je platný a vráti hodnotu dobré.
Riešenie
Na vyriešenie tohto problému Windows 8.1 alebo Windows Server 2012 R2, nainštalujte aktualizáciu 2967917. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
2967917 júla 2014 súhrnná aktualizácia pre Windows RT 8.1 Windows 8.1 a Windows Server 2012 R2
Na vyriešenie tohto problému v systéme Windows 7 alebo Windows Server 2008 R2, nainštalujte rýchlu opravu popísanú v časti "Informácie o rýchlej oprave" v tomto článku.
Pred inštaláciou tejto rýchlej opravy, musíte nakonfigurovať službu OCSP čítať sériové čísla, ktoré boli vydané certifikačnou autoritou. Chcete urobiť, postupujte v tejto časti Vytvorenie priečinka súbory sériové číslo a vytvoriť kľúče databázy registry, ktoré odkazujú na tento priečinok.
Poznámky
-
Adresár sa môžu v sieti alebo umiestnený na lokálnom počítači. Ak nastavíte pole konfiguráciou, odporúčame hosť adresárov v sieti, tak, že všetky array členov môžete mať "čítanie" prístup.
-
Bez ohľadu na to, kde sa nachádza adresár, uistite sa, že služba OCSP nemá povolenie na čítanie k adresáru. Nastavenie databázy registry sa nevzťahuje na akékoľvek Microsoft Online Responder, nie je oprava túto rýchlu opravu.
Konfigurovať službu OCSP
Spustite nasledujúci postup v počítači certifikačnej autority pre ktorú ste nakonfigurovali službu OCSP.
Krok 1: Adresárovej štruktúry
-
Spustite program Poznámkový blok a prilepte nasledovný ukážkový skript do nového dokumentu:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Uloženie nového dokumentu ako Certs.ps1.
-
Vytvorenie adresára, v ktorom sú uložené prázdne súbory, ktoré zodpovedajú všetky vydané sériových čísel.
-
Spustite skript Certs.ps1. Na tento účel spustite príkaz Windows PowerShell:
Certs.ps1 < adresára vytvorili v kroku 3 >
-
Skontrolujte adresár, ktorý ste vytvorili v kroku 3 Uistite sa, že súbory zodpovedajú vydaných poradové čísla.
Poznámka: Ak máte viacero CAs v prostredí, uistite sa, že ich príslušné poradové číslo adresáre sú rôzne. Nezdieľajú rovnaké adresára medzi rôznymi CAs. -
Spustite skript v počítači CA a nahrať uložený súbor tým, že obmedzujúce ACL. Súbor by sa nemali upravovať. Uistite sa, že všetky Microsoft Online Responder počítače môžete prístup k tomuto umiestneniu.
Ďalšie informácie o tomto postupe
Microsoft Online Responder vráti hodnotu neznáme pre všetky certifikáty, ktoré boli vydané, ale ešte v súbore, ktorý je vytvorený v kroku 6. Skript musíte spustiť v pravidelných intervaloch a obnovovať, aby Microsoft Online Responder poskytnúť aktuálny stav. Toto nastavenie intervalu bude závisieť na svoj špecifický nasadením prostredia. Odporúčame vám vybrať vhodný interval kdekoľvek od štyroch hodín na hodnotu ďalší zoznam zrušených certifikátov, dátum.
Krok 2: databázy Registry
Upozornenie: Ak databázu registry upravíte nesprávne pomocou editora databázy Registry alebo iným spôsobom, môžu nastať vážne problémy. Tieto problémy môžu vyžadovať preinštalovanie operačného systému. Spoločnosť Microsoft nemôže zaručiť, že tieto problémy bude možné vyriešiť. Databázu registry upravujete na vlastné riziko.
-
Ukončite všetky aplikácie systému Windows.
-
Kliknite na tlačidlo Štart, kliknite na položku Spustiť, zadajte príkaz regedita kliknite na tlačidlo OK.
-
Vyhľadajte a vyberte nasledujúci podkľúč databázy registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Kliknite na tlačidlo certifikačná autorita (CA), na ktorom ste vytvorili adresárovú štruktúru.
-
Kliknite pravým tlačidlom myši Uzla poskytovateľa, ukážte na novéa kliknite na tlačidlo Hodnota viacnásobného reťazca.
-
Typ IssuedSerialNumbersDirectories, a potom stlačte kláves Enter.
-
Kliknite pravým tlačidlom myši IssuedSerialNumbersDirectories, a kliknite na položku Upraviť.
-
Do poľa údaj hodnoty zadajte cestu adresára vytvoreného v kroku 3 postupu adresárovej štruktúry a ktorý obsahuje vydaných poradové čísla, a kliknite na tlačidlo OK.
Adresára, použite nasledujúci formát:\\<computername>\<directorylocation>Napríklad, použite cestu k nasledujúcemu:
\\contoso-ocspfileserver\SerialNumbers
-
V ponuke Súbor kliknite na položku Skončiť a zatvorte Editor databázy Registry.
-
Nainštalujte opravu hotfix, ktorá je uvedená v tomto článku.
Po vykonaní "Adresárovej štruktúry" a "Register" kroky, nainštalujte opravu hotfix, ktorá je uvedená v tomto článku.
Výsledky
Po nainštalovaní rýchlej opravy Online Responder služby vykonať nasledovné kroky:
-
Vráti hodnotu dobré pre certifikáty, ktoré sú overené
-
Vráti hodnotu dobré pre certifikáty, ktoré sú zahrnuté do zoznamu zrušených certifikátov
-
Vráti hodnotu neznáme pre všetky ostatné certifikáty, ktoré nie je možné overiť
Informácie o rýchlej oprave
Rýchla oprava je k dispozícii od spoločnosti Microsoft Support. Táto rýchla oprava je však určená iba opravu problému, ktorý je popísaný v tomto článku. Rýchlu opravu použite len v systémoch, v ktorých sa vyskytuje problém popísaný v tomto článku. Táto rýchla oprava môže byť ďalej testovaná. Ak nie ste výrazne ovplyvnení týmto problémom, odporúčame vám počkať na ďalšiu aktualizáciu softvéru, ktorá bude obsahovať túto rýchlu opravu.
Ak je rýchla oprava k dispozícii na stiahnutie, na začiatku tohto článku databázy Knowledge Base sa nachádza časť „K díspozícii je rýchla oprava na stiahnutie“. Ak sa táto časť nezobrazuje, obráťte sa na oddelenie služieb zákazníkom a technickej podpory spoločnosti Microsoft a požiadajte o poskytnutie tejto rýchlej opravy.
Poznámka: Ak sa vyskytnú ďalšie problémy alebo ak je potrebné riešiť problémy, je možné, že budete musieť vytvoriť samostatnú servisnú požiadavku. Na ďalšie žiadosti o podporu a problémy, ktoré sa netýkajú tejto konkrétnej rýchlej opravy, sa vzťahujú zvyčajné poplatky za poskytnutie technickej podpory. Ak si chcete pozrieť úplný zoznam telefónnych čísel oddelení služieb a technickej podpory zákazníkov spoločnosti Microsoft alebo vytvoriť samostatnú servisnú požiadavku, prejdite na nasledujúcu webovú lokalitu spoločnosti Microsoft:
http://support.microsoft.com/contactus/?ws=supportPoznámka: Formulár "Prevzatie dostupnej rýchlej opravy" sa zobrazuje pre jazyky, pre ktoré je rýchla oprava k dispozícii. Ak nemôžete nájsť požadovaný jazyk, znamená to, že rýchla oprava nie je pre tento jazyk k dispozícii.
Požiadavky
Ak chcete použiť túto rýchlu opravu, musíte mať Service Pack 1 pre systém Windows 7 alebo Windows Server 2008 R2 nainštalovaný.
Požiadavka na reštartovanie
Po použití tejto rýchlej opravy nie je potrebné reštartovať počítač.
Informácie o nahradení rýchlej opravy
Táto rýchla oprava nenahrádza predchádzajúcu rýchlu opravu.
Angličtina (USA) verzia tejto rýchlej opravy inštaluje súbory, ktorých atribúty sú uvedené v nasledujúcich tabuľkách. Dátumy a časy jednotlivých súborov sú uvedené vo formáte UTC (Coordinated Universal Time). Dátumy a časy pre tieto súbory v lokálnom počítači sú zobrazené v miestnom čase a podľa aktuálneho nastavenia funkcie prechodu na letný čas. Dátumy a časy sa okrem toho môžu zmeniť aj pri vykonávaní určitých operácií so súbormi.
Informácie o súboroch systému Windows 7 a Windows Server 2008 R2 a poznámkyDôležité upozornenie: Rýchle opravy systémov Windows 7 a Windows Server 2008 R2 sú súčasťou rovnakých balíkov. Rýchle opravy na stránke žiadosti o rýchlu opravu sú však uvedené pre obidva operačné systémy. Ak chcete požiadať o opravu hotfix, ktorá je určená pre jeden alebo oba operačné systémy, vyberte rýchlu opravu, ktorá je uvedená v časti "Windows 7 alebo Windows Server 2008 R2" na stránke. Vždy si pozrite časti "Vzťahuje sa na" v článkoch zistiť skutočný operačný systém, daná rýchla oprava určená.
-
Súbory vzťahujúce sa na konkrétny produkt, SR_Level (RTM, SPn), a priečinok služby (LDR, GDR) je identifikovať na základe kontroly čísel verzií súborov tak, ako je uvedené v nasledujúcej tabuľke.
Verzia
Produkt
SR_Level
Priečinok služby
6.1.760
1. 22xxxWindows 7 a Windows Server 2008 R2
SP1
LDR
-
Priečinky služieb GDR obsahujú iba opravy, ktoré boli vydané na adresu rozšírené závažných problémov. Priečinky služieb LDR obsahujú okrem všeobecne vydaných opráv aj rýchle opravy.
-
Súbory typu MANIFEST (.manifest) a súbory MUM (.mum) ktoré sa inštalujú pre jednotlivé prostredia, sú uvedené samostatne v časti "Ďalšie informácie o súboroch pre systém Windows 7 a Windows Server 2008 R2". Súbory MUM a súbory MANIFEST a priradené súbory katalógu zabezpečenia (.cat), sú mimoriadne dôležité na zachovanie stavu aktualizovaných súčastí. Súbory katalógov zabezpečenia, pre ktoré nie sú uvedené atribúty, sú podpísané digitálnym podpisom spoločnosti Microsoft.
Pre všetky podporované verzie systému Windows 7 s procesorom typu x86
|
Názov súboru |
Verzia súboru |
Veľkosť súboru |
Dátum |
Čas |
Platforma |
Požiadavka na aktualizáciu SP |
Priečinok služby |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Žiadny |
Nevzťahuje sa |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Pre všetky podporované verzie systémov Windows 7 a Windows Server 2008 R2 s procesorom x64
|
Názov súboru |
Verzia súboru |
Veľkosť súboru |
Dátum |
Čas |
Platforma |
Požiadavka na aktualizáciu SP |
Priečinok služby |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Žiadny |
Nevzťahuje sa |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Žiadny |
Nevzťahuje sa |
Informácie o ďalších súboroch pre systémy Windows 7 a Windows Server 2008 R2
Ďalšie súbory pre všetky podporované verzie systému Windows 7 s procesorom typu x86
|
Vlastnosť súboru |
Hodnota |
|---|---|
|
Názov súboru |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
720 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
719 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
63,628 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
07:59 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
11,236 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
08:00 |
|
Platforma |
Nevzťahuje sa |
Ďalšie súbory pre všetky podporované verzie systémov Windows 7 a Windows Server 2008 R2 s procesorom x64
|
Vlastnosť súboru |
Hodnota |
|---|---|
|
Názov súboru |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
723 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
721 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
724 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
13:22 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
63,632 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
08:30 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
11,240 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
08:30 |
|
Platforma |
Nevzťahuje sa |
|
Názov súboru |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Verzia súboru |
Nevzťahuje sa |
|
Veľkosť súboru |
63,628 |
|
Dátum (UTC) |
30-May-2014 |
|
Čas (UTC) |
07:59 |
|
Platforma |
Nevzťahuje sa |
Stav
Spoločnosť Microsoft potvrdila, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v časti Vzťahuje sa na.
Ďalšie informácie
Táto rýchla oprava obsahuje zmeny dizajnu, ktorý robí Microsoft OCSP odpovedajúci vedomí všetkých certifikátov, ktoré sú splnené nasledovné podmienky:
-
Vydáva CA.
-
Nie sú zrušené.
-
Sú v súčasnosti vlastné platnosti.
Odkazy
Informácie o terminológii , ktorú spoločnosť Microsoft používa na popis aktualizácií softvéru.
