Det finns två förbättringar som förkortar den tid som krävs för att hantera SCEP-certifikat med registreringstjänsten för nätverk i Windows Server 2008

Gäller för: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

Symptom


I Windows Server 2008 försöker hantera enkla certifikat Enrollment Protocol (SCEP) certifikat med hjälp av Network Device Enrollment Service (NDES). NDES installeras som en del av Certifikattjänster i Windows Server 2008. I det här scenariot uppstår följande problem:

Problem 1

Lösenord kan inte återanvändas mellan olika enheter.

Baserat på SCEP-protokollet kan krävs en enhet för att skicka ett lösenord när du begär ett certifikat från en SCEP-server för första gången. SCEP-servern utfärdar ett certifikat efter att verifiera lösenordet.

Processen genom vilken SCEP-servern utfärdar ett certifikat efter att Validera lösenord är följande:
  1. Administratören loggar in på en webbplats för SCEP-administration och begär ett lösenord.
  2. SCEP-servern genererar ett slumpmässigt lösenord lagras i cacheminnet och visar sedan lösenordet för administratören.
  3. Administratören konfigurerar lösenordet på enheten.
  4. Enheten skickar lösenordet i sin första begäran om ett certifikat.

    Obs! Det här lösenordet upphör att gälla i 60 minuter.
  5. Servern utfärdar certifikatet och tar bort lösenordet från cacheminnet. Lösenordet kan inte längre användas av andra enheter.
Problem 2

SCEP-certifikat kan omregistreras automatiskt efter förfallodatum.

På grund av dessa frågor, kan det ta administratörer länge till begäran om lösenord för alla enheter och gäller SCEP-certifikat.

Lösning


Lös problemen två installera snabbkorrigering 959193. Med denna snabbkorrigering införs två följande förbättringar:

Förbättring 1

När du har installerat den här snabbkorrigeringen kan lösenord återanvändas mellan olika enheter. Den nya processen att hantera lösenord är följande:
  1. SCEP-servern bekräftar registerinställningen för "Lösenord"-läge. I det här läget ett huvudlösenord skapas och lagras i registret med hjälp av krypterade data. Master lösenordet upphör aldrig att gälla.
  2. En administratör loggar in på en webbplats för SCEP-administration och begär ett lösenord. Huvudlösenord levereras.
  3. Administratören konfigurerar lösenordet på enheten. Eftersom lösenordet är samma för alla enheter och det aldrig upphör att gälla, kan administratören enkelt skriva ett skript för att distribuera lösenord på alla enheter.
Så här aktiverar du förbättring 1

Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 hur du säkerhetskopierar och återställer registret i Windows

Om du vill aktivera den här funktionen skapar du följande registerpost:
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

Obs! Om du kör NDES under kontot Network Service måste du bevilja fullständig behörighet till kontot "Network Service" under följande undernyckel i registret: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.

Förbättring 2

Certifikat kan omregistreras automatiskt efter förfallodatum. Den här funktionen aktiveras automatiskt när snabbkorrigeringen har installerats.

Som standard när du begär förnyelse av certifikat genom att använda den här funktionen måste undertecknarens certifikat ha samma ämnesnamnet och det alternativa ämnesnamnet som det begärda certifikatet. Ange värdet för registerposten DisableRenewalSubjectNameMatch under följande undernyckel 1 för att kringgå detta krav.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

Obs! Du kan behöva skapa registerposten med hjälp av typen REG_DWORD om registerposten inte finns.

Information om snabbkorrigeringen

En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd den här snabbkorrigeringen endast på datorer som har problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.

Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.

Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:Obs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.

Viktigt snabbkorrigeringar för Windows Vista och Windows Server 2008 ingår i samma paket. Endast en av dessa produkter får dock anges på sidan "Snabbkorrigering begäran". Markera den produkt som anges på sidan om du vill begära snabbkorrigeringspaket som gäller för både Windows Vista och Windows Server 2008.

Förutsättningar

Det finns inga särskilda förutsättningar.

Krav på omstart

Du måste starta om datorn när du har installerat den här snabbkorrigeringen.

Ersättningsinformation för Hotfix

Den här snabbkorrigeringen ersätter inte några tidigare utgivna snabbkorrigeringar.

Filinformation

Den engelska versionen av den här snabbkorrigeringen har de filattribut (eller senare filattribut) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (UTC). När du visar filinformationen konverteras den till lokal tid. Använd fliken tidszon i datum och tid på Kontrollpanelen om du vill se skillnaden mellan UTC-tid och lokal tid.
Filinformation för Windows Server 2008
De manifest- och MUM-filer som installeras i varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows Server 2008". Dessa filer och tillhörande säkerhetskatalogfiler () filer är kritiska för upprätthållande av den uppdaterade komponenten tillstånd. Cat-filerna signeras med en digital Microsoft-signatur. Attributen för dessa säkerhetsfiler anges inte.

För alla x86-baserade versioner av Windows Server 2008 som stöds
FilnamnFilversionStorlekDatumTidPlattform
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
För alla x64-baserade versioner av Windows Server 2008 som stöds
FilnamnFilversionStorlekDatumTidPlattform
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

Status


Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".

Mer Information


Mer information om SCEP följande Internet-utkast Web site (IETF)-webbplats:

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

Observera att dokumentet upphör att gälla den 25 juli 2009. Sök efter "SCEP" på startsidan för webbplatsen information efter detta datum.

Microsoft tillhandahåller kontaktinformation för tredje part för att hjälpa dig att hitta teknisk support. Denna information kan ändras utan föregående meddelande. Microsoft kan inte garantera riktigheten av denna information från tredje part.


För mer information klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

824684 beskrivning av standardterminologin som används för att beskriva Microsoft-programuppdateringar


Ytterligare filinformation för Windows Server 2008

För alla x86-baserade versioner av Windows Server 2008 som stöds
FilnamnFilversionStorlekDatumTidPlattform
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mumEj tillämplig13,17218-Jan-200901:10Ej tillämplig
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mumEj tillämplig1,42318-Jan-200901:10Ej tillämplig
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumEj tillämplig13,64718-Jan-200901:10Ej tillämplig
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mumEj tillämplig1,43118-Jan-200901:10Ej tillämplig
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifestEj tillämplig43,47517-Jan-200907:10Ej tillämplig
För alla x64-baserade versioner av Windows Server 2008 som stöds
FilnamnFilversionStorlekDatumTidPlattform
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifestEj tillämplig43,50517-Jan-200909:42Ej tillämplig
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mumEj tillämplig13,28418-Jan-200901:10Ej tillämplig
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mumEj tillämplig1,43118-Jan-200901:10Ej tillämplig
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumEj tillämplig13,76318-Jan-200901:10Ej tillämplig
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mumEj tillämplig1,43918-Jan-200901:10Ej tillämplig