Symptom
Föreställ dig följande:
-
Du har tjänsten Microsoft Onlinesvarare installeras på en server som kör Windows Server 2008 R2 eller Windows Server 2012 R2.
-
Servern används för att konfigurera och hantera Online Certificate Status Protocol OCSP-validering.
I det här fallet returnerar inte tjänsten Onlinesvarare deterministic värdet bra för alla certifikat som inte ingår i den certifikat listan över Återkallade.
Orsak
Det här problemet uppstår eftersom OCSP inte kontrollerar med bekräftat att certifikatet har utfärdats av dess motsvarande certifikatutfärdare faktiskt. Om ett certifikat som inte ingår i listan över återkallade certifikat, antar i stället tjänsten Onlinesvarare att certifikatet är giltigt och returnerar ett värde av god.
Lösning
Lös problemet i Windows 8.1 eller Windows Server 2012 R2 installera uppdateringen 2967917. För mer information klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
2967917 juli 2014 Samlad uppdatering för Windows RT 8.1, 8.1 för Windows och Windows Server 2012 R2
Installera snabbkorrigeringen som beskrivs i avsnittet "Information om snabbkorrigeringen" i denna artikel för att lösa det här problemet i Windows 7 eller Windows Server 2008 R2.
Innan du installerar den här snabbkorrigeringen måste du konfigurera tjänsten OCSP-om du vill läsa serienummer som utfärdas av certifikatutfärdaren. Genom att följa stegen i det här avsnittet för att skapa en plats där att spara filer som serienummer och skapa registernycklar som pekar till den här katalogen.
Kommentarer
-
Katalogen kan finns på en nätverksresurs eller på en lokal dator som värd. Om du ställer in en matriskonfiguration rekommenderar vi värd katalog på en nätverksresurs så att alla matrismedlemmar har "Läs" tillgång till den.
-
Oavsett var finns katalogen, kontrollerar du att tjänsten OCSP har läsbehörighet till katalogen. Registerinställningarna inte att gälla för alla Microsoft Onlinesvarare som inte åtgärdas genom snabbkorrigeringen.
Konfigurera tjänsten OCSP
Kör följande steg på datorn för certifikatutfärdaren som du har konfigurerat tjänsten OCSP.
Steg 1: Katalogstruktur
-
Starta Anteckningar och klistra sedan in följande exempelskript i ett nytt dokument:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Spara det nya dokumentet som Certs.ps1.
-
Skapa en katalog som är tomma filer som motsvarar alla utfärdade serienummer ska lagras.
-
Kör skript för Certs.ps1. Det gör du genom att köra följande kommando i Windows PowerShell:
Certs.ps1 < katalogplats som skapades i steg 3 >
-
Granska den katalog som du skapade i steg 3 för att kontrollera att filerna som motsvarar de utfärdade serienummer.
Obs! Om du har flera certifikatutfärdare som finns i din miljö, se till att deras serienummer kataloger är olika. Dela inte samma katalog mellan olika certifikatutfärdare. -
Kör skriptet på certifikatutfärdardatorn och överför den sparade filen med restriktiv ACL: er. Filen bör inte redigeras. Kontrollera att alla Microsoft Onlinesvarare datorer kan komma åt den här platsen.
Mer information om denna procedur
Microsoft Onlinesvarare returnerar ett värde av okänd för alla certifikat som har utfärdats men ännu inte i filen som du skapade i steg 6. Det här skriptet måste köras med jämna mellanrum och uppdateras för Microsoft Onlinesvarare att ge en aktuell status. Den här inställningen beror på en viss distributionsmiljö. Vi rekommenderar att du väljer ett lämpligt intervall mellan fyra timmar till värdet för nästa CRL publicera datum.
Steg 2: registret
Varning Allvarliga problem kan uppstå om du ändrar registret på ett felaktigt sätt med Registereditorn eller med någon annan metod. Dessa problem kan medföra att du måste installera om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Ändra registret på egen risk.
-
Avsluta alla Windows-program.
-
Klicka på Start, Kör, Skriv regeditoch klicka sedan på OK.
-
Leta upp och markera följande registerundernyckel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Klicka på certifikatutfärdaren (CA) som du skapat i katalogstrukturen.
-
Högerklicka på Noden providers, peka på Nyttoch klicka sedan på Multisträngvärde.
-
Skriv IssuedSerialNumbersDirectoriesoch tryck sedan på RETUR.
-
Högerklicka på IssuedSerialNumbersDirectoriesoch klicka sedan på Ändra.
-
I rutan data skriver du sökvägen till den katalog som du skapade i steg 3 i proceduren för directory-struktur och som innehåller utfärdade serienummer och klicka sedan på OK.
Sökvägen till katalogen i använder du följande format:\\<computername>\<directorylocation>Använd till exempel en sökväg av följande slag:
\\contoso-ocspfileserver\SerialNumbers
-
Klicka på Avsluta för att avsluta Registereditorn på Arkiv -menyn.
-
Installera snabbkorrigeringspaketet som nämns i denna artikel.
När du har följt "Katalogstruktur" och "Registret" steg installera snabbkorrigeringspaketet som nämns i denna artikel.
Resultat
När snabbkorrigeringen har installerats har bör tjänsten Onlinesvarare göra följande:
-
Returnera ett värde av god för de certifikat som verifieras
-
Returnera ett värde av ÅTERKALLADE certifikat som ingår i listan över återkallade certifikat
-
Returnera ett värde av okänd för alla certifikat som inte kan verifieras
Information om snabbkorrigeringen
En snabbkorrigering är tillgänglig från Microsoft Support. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd den här snabbkorrigeringen endast på datorer som har problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.
Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.
Förutsättningar
Om du vill installera den här snabbkorrigeringen måste du ha Service Pack 1 för Windows 7 eller Windows Server 2008 R2 är installerat.
Krav på omstart
Du behöver inte starta om datorn när du har installerat den här snabbkorrigeringen.
Ersättningsinformation för Hotfix
Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.
Engelska (USA) versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.
Filinformation för Windows 7 och Windows Server 2008 R2 och anteckningar Viktigt Snabbkorrigeringar för Windows 7 och Windows Server 2008 R2 snabbkorrigeringar ingår i samma paket. Dock finns snabbkorrigeringar på sidan snabbkorrigeringen begäran under båda operativsystemen. Om du vill begära snabbkorrigeringspaket som gäller för en eller båda operativsystemen markerar du snabbkorrigeringen som anges under "Windows 7 och Windows Server 2008 R2" på sidan. Alltid finns i avsnittet "Gäller" i artiklarna för att fastställa själva operativsystemet som avser varje snabbkorrigering.
-
De filer som gäller en viss produkt, SR_Level (RTM, SPn) och verksamhetsgren (LDR, GDR) framgår av undersöker versionsnumren som visas i följande tabell.
Version
Produkt
SR_Level
Verksamhetsgren
6.1.760
1. 22xxxWindows 7 och Windows Server 2008 R2
SP1
LDR
-
GDR-verksamhetsgrenar innehåller endast korrigeringar brett utgivna för vitt spridda, ytterst viktiga problem. LDR-verksamhetsgrenar innehåller snabbkorrigeringar utöver brett utgivna korrigeringar.
-
I MANIFESTET (.manifest) och MUM filerna (.mum) som installeras för varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows 7 och Windows Server 2008 R2". MUM- och MANIFEST-filer, och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktigt att bibehålla statusen för de uppdaterade komponenterna. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur
För alla x 86-baserade versioner av Windows 7 som stöds
|
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
SP-krav |
Verksamhetsgren |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ingen |
Ej tillämplig |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
För alla x64-baserade versioner av Windows 7 och Windows Server 2008 R2 som stöds
|
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
SP-krav |
Verksamhetsgren |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Ingen |
Ej tillämplig |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Ingen |
Ej tillämplig |
Ytterligare filinformation för Windows 7 och Windows Server 2008 R2
Ytterligare filer för alla x86-baserade versioner av Windows 7
|
Filegenskap |
Värde |
|---|---|
|
Filnamn |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
720 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
13:22 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
719 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
13:22 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
63,628 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
07:59 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
11,236 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
08:00 |
|
Plattform |
Ej tillämplig |
Ytterligare filer för alla x64-baserade versioner av Windows 7 och Windows Server 2008 R2 som stöds
|
Filegenskap |
Värde |
|---|---|
|
Filnamn |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
723 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
13:22 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
721 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
13:22 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
724 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
13:22 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
63,632 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
08:30 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
11,240 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
08:30 |
|
Plattform |
Ej tillämplig |
|
Filnamn |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Filversion |
Ej tillämplig |
|
Storlek |
63,628 |
|
Datum (UTC) |
30-May-2014 |
|
Tid (UTC) |
07:59 |
|
Plattform |
Ej tillämplig |
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
Den här snabbkorrigeringen innehåller en designändring som gör Microsoft OCSP-svarare medveten om alla certifikat som följande är sant:
-
De har utfärdats av Certifikatutfärdaren.
-
De har inte återkallats.
-
De är för närvarande i sina egna giltighetsperiod.
Referenser
Lär dig mer om den terminologi som Microsoft använder för att beskriva programuppdateringar.
