ตัวตอบสนองใน Windows Server 2008 ออนไลน์ใบรับรองสถานะโพรโทคอล (OCSP) ไม่ทำงานกับใบรับรองการเซ็นชื่อที่ไม่ได้ใช้อัลกอริทึมการ SHA1

นำไปใช้กับ: Windows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise without Hyper-VWindows Server 2008 Standard without Hyper-V

อาการ


พิจารณาสถานการณ์สมมติต่อไปนี้:
  • บนคอมพิวเตอร์ที่ใช้ Windows Server 2008 ผู้ตอบสนองออนไลน์ใบรับรองสถานะโพรโทคอล (OCSP) ที่จะเปิดใช้งาน

    หมายเหตุ เมื่อต้องการเปิดใช้งานตัวตอบสนองการ OCSP คุณต้องเพิ่มบทบาท Certificate Services สำหรับไดเรกทอรีที่ใช้งานอยู่บนคอมพิวเตอร์
  • อุปกรณ์ตอบสนองการ OCSP ใช้ใบรับรองการเซ็นชื่อสำหรับ OCSP กำหนดด้วยตนเอง
ในสถานการณ์สมมตินี้ การเพิกถอน OCSP ไม่ทำงาน นอกจากนี้ คุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ใบรับรองการเซ็นชื่อ: ข้อผิดพลาด HRESULT E_FAIL ได้ถูกส่งคืนจากการเรียกไปยังคอมโพเนนต์ COM
เมื่อปัญหานี้เกิดขึ้น มีบันทึกเหตุการณ์ที่มีลักษณะต่อไปนี้ในบันทึกของโปรแกรมประยุกต์:

สาเหตุ


OCSP คือ hardcoded การใช้อัลกอริทึมการรักษาความปลอดภัยแฮอัลกอริทึม 1 (SHA1) สำหรับการตรวจสอบลายเซ็น ปัญหานี้เกิดขึ้นถ้าใบรับรองที่กำหนดด้วยตนเองไม่ได้ใช้อัลกอริทึมการ SHA1

การแก้ปัญหา


โปรแกรมแก้ไขด่วนจะพร้อมใช้งานเมื่อต้องการแก้ไขปัญหานี้ โปรแกรมแก้ไขด่วนนี้แก้ข้อจำกัดนี้ให้ OCSP ไม่ได้ถูกผูกไว้กับ SHA1 ใบรับรองการเซ็นชื่อ

ข้อมูลโปรแกรมแก้ไขด่วน

มีโปรแกรมแก้ไขด่วนที่รองรับพร้อมให้บริการจาก Microsoft อย่างไรก็ตาม โปรแกรมแก้ไขด่วนนี้มุ่งหวังเพื่อการแก้ไขเฉพาะปัญหาที่อธิบายไว้ในบทความนี้ ใช้ hotfix นี้เฉพาะกับระบบต่าง ๆ ที่พบปัญหานี้ โปรแกรมแก้ไขด่วนนี้อาจได้รับการทดสอบเพิ่มเติม ดังนั้น ถ้าคุณไม่ได้รับผลกระทบจากปัญหานี้รุนแรง เราขอแนะนำให้ คุณรอการปรับปรุงซอฟต์แวร์ถัดไปที่ประกอบด้วยโปรแกรมแก้ไขด่วนนี้

หากโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด คุณจะเห็นส่วน "มีโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด" ที่ด้านบนของบทความฐานข้อมูลองค์ความรู้นี้ หากส่วนนี้ไม่ปรากฏขึ้น ติดต่อฝ่ายสนับสนุนและบริการลูกค้าของ Microsoft เพื่อขอรับโปรแกรมแก้ไขด่วน

หมายเหตุ ถ้ามีปัญหาอื่น ๆ เกิดขึ้น หรือถ้าจำเป็นต้องแก้ไขปัญหาใด ๆ คุณอาจต้องสร้างคำขอรับบริการแยกต่างหาก จะมีค่าใช้จ่ายในการสนับสนุนปกติกับคำถามเพิ่มเติมและเรื่องอื่น ๆ ที่ไม่มีสิทธิได้รับโปรแกรมแก้ไขด่วนเฉพาะนี้ สำหรับรายชื่อทั้งหมด ของหมายเลขโทรศัพท์ของฝ่ายบริการลูกค้าของ Microsoft และการสนับสนุน หรือ เพื่อสร้างการร้องขอบริการแยกต่างหาก แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:หมายเหตุ แบบฟอร์ม "มีโปรแกรมแก้ไขด่วนพร้อมสำหรับการดาวน์โหลด" แสดงภาษาที่โปรแกรมแก้ไขด่วนพร้อมใช้งาน ถ้าคุณไม่เห็นภาษาของคุณ อาจเป็น เพราะไม่มีโปรแกรมแก้ไขด่วนพร้อมใช้งานสำหรับภาษานั้น

ฮอตฟิกซ์ Windows Vista และ Windows Server 2008 ที่สำคัญรวมอยู่ในแพคเกจเดียวกัน อย่างไรก็ตาม เพียงหนึ่งผลิตภัณฑ์เหล่านี้อาจอยู่ในหน้า "การร้องขอโปรแกรมแก้ไขด่วน" เมื่อต้องการร้องขอแพคเกจโปรแกรมแก้ไขด่วนที่ใช้กับทั้ง Windows Vista และ Windows Server 2008 เพียงแค่เลือกผลิตภัณฑ์ที่แสดงอยู่บนหน้า

ข้อกำหนดเบื้องต้น

เมื่อต้องการใช้โปรแกรมแก้ไขด่วนนี้ คุณต้องมี Windows Server 2008 ติดตั้งอยู่

ข้อกำหนดการรีสตาร์ท

หลังจากที่คุณใช้โปรแกรมแก้ไขด่วนนี้ คุณต้องเริ่มต้นบริการตัวตอบสนองแบบออนไลน์ (Ocspsvc.exe)

ข้อมูลการแทนที่โปรแกรมแก้ไขด่วน


โปรแกรมแก้ไขด่วนนี้ไม่ได้แทนที่ออกมาก่อนหน้านี้แก้ไขด่วนอื่น ๆ

ข้อมูลรีจิสทรี


เมื่อต้องการใช้โปรแกรมแก้ไขด่วนนี้ คุณไม่มีการเปลี่ยนแปลงใด ๆ ในรีจิสทรี

ข้อมูลแฟ้ม

เวอร์ชันภาษาอังกฤษของโปรแกรมแก้ไขด่วนนี้มีแอตทริบิวต์ของแฟ้ม (หรือแอตทริบิวต์ของแฟ้มที่ใหม่กว่านี้) ซึ่งแสดงรายการไว้ในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) เมื่อคุณดูข้อมูลแฟ้ม ระบบจะแปลงข้อมูลนี้เป็นเวลาท้องถิ่น เมื่อต้องการค้นหาความแตกต่างระหว่างเวลา UTC กับเวลาท้องถิ่น ใช้แท็บ โซนเวลา ในรายการ วันที่และเวลา ในแผงควบคุม

หมายเหตุใน Windows Server 2008

แฟ้ม MANIFEST (.manifest) และแฟ้ม MUM (.mum) ซึ่งติดตั้งสำหรับแต่ละสภาพแวดล้อมได้
แสดงรายการแยกต่างหาก
. แฟ้ม MUM และแฟ้ม MANIFEST และ แฟ้มแค็ตตาล็อก (.cat) การรักษาความปลอดภัยที่เกี่ยวข้อง เป็นสิ่งสำคัญสำหรับการรักษาสถานะของคอมโพเนนต์ปรับปรุงแล้ว แฟ้มแค็ตตาล็อกความปลอดภัย (ไม่แสดงแอตทริบิวต์) จะลงชื่อ ด้วยลายเซ็นดิจิทัลของ Microsoft
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x86
ชื่อแฟ้มรุ่นของแฟ้มขนาดของแฟ้มวันที่เวลาแพลตฟอร์มสาขาเซอร์วิส
Ocspsvc.exe6.0.6001.22325196,09609-Dec-200804:28x86X86_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.hไม่มีข้อมูล1,56918-Dec-200721:29ไม่มีข้อมูลX86_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.iniไม่มีข้อมูล2,91818-Dec-200721:29ไม่มีข้อมูลX86_MICROSOFT-WINDOWS-OCSP
สำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x64
ชื่อแฟ้มรุ่นของแฟ้มขนาดของแฟ้มวันที่เวลาแพลตฟอร์มสาขาเซอร์วิส
Ocspsvc.exe6.0.6001.22325248,32009-Dec-200804:59x64AMD64_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.hไม่มีข้อมูล1,56918-Dec-200721:29ไม่มีข้อมูลAMD64_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.iniไม่มีข้อมูล2,91818-Dec-200721:29ไม่มีข้อมูลAMD64_MICROSOFT-WINDOWS-OCSP

สถานะ


Microsoft ยืนยันว่านี่เป็นปัญหาในผลิตภัณฑ์ของ Microsoft ซึ่งแสดงไว้ในส่วน "นำไปใช้กับ"

ข้อมูลเพิ่มเติม


สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

824684คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoft

ข้อมูลแฟ้มเพิ่มเติมสำหรับ Windows Server 2008

แฟ้มเพิ่มเติมสำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x86
ชื่อแฟ้มรุ่นของแฟ้มขนาดของแฟ้มวันที่เวลาแพลตฟอร์ม
Package_for_kb960809_server_0~31bf3856ad364e35~x86~~6.0.1.0.mumไม่มีข้อมูล1,40909-Dec-200823:11ไม่มีข้อมูล
Package_for_kb960809_server~31bf3856ad364e35~x86~~6.0.1.0.mumไม่มีข้อมูล1,43009-Dec-200823:11ไม่มีข้อมูล
X86_microsoft-windows-ocspsvc_31bf3856ad364e35_6.0.6001.22325_none_ddba509b7c8010ea.manifestไม่มีข้อมูล51,64409-Dec-200804:57ไม่มีข้อมูล
แฟ้มเพิ่มเติมสำหรับทั้งหมดได้รับการสนับสนุน Windows Server 2008 รุ่นที่ใช้ x64
ชื่อแฟ้มรุ่นของแฟ้มขนาดของแฟ้มวันที่เวลาแพลตฟอร์ม
Amd64_microsoft-windows-ocspsvc_31bf3856ad364e35_6.0.6001.22325_none_39d8ec1f34dd8220.manifestไม่มีข้อมูล51,68209-Dec-200805:46ไม่มีข้อมูล
Package_for_kb960809_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mumไม่มีข้อมูล1,41709-Dec-200823:11ไม่มีข้อมูล
Package_for_kb960809_server~31bf3856ad364e35~amd64~~6.0.1.0.mumไม่มีข้อมูล1,43809-Dec-200823:11ไม่มีข้อมูล