Belirtiler
Aşağıdaki senaryoyu düşünün:
-
Windows Server 2008 R2 çalıştıran bir sunucu veya Windows Server 2012 R2 yüklü Microsoft Çevrimiçi Yanıtlayıcı hizmeti var.
-
Sunucu, Çevrimiçi sertifika durum protokolü (OCSP) doğrulama yönetmek ve yapılandırmak için kullanılır.
Bu senaryoda, Çevrimiçi Yanıtlayıcı hizmeti sertifika iptal listesi (CRL) dahil edilmeyen tüm sertifikalar için iyi deterministic değeri döndürmez.
Neden
Bu sorun, OCSP ile teyit edilmiş bir kaynak sertifikanın gerçekten onun karşılık gelen bir sertifika yetkilisi tarafından verildiği doğrulamadığı için oluşur. Bunun yerine, bir sertifika CRL dahil değilse, Çevrimiçi Yanıtlayıcı hizmeti sertifika geçerli olduğunu ve iyi bir değeri döndürür varsayar.
Çözüm
Windows 8.1 veya Windows Server 2012 R2 bu sorunu gidermek için 2967917 güncelleştirmesini yükleyin. Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
2967917 Temmuz 2014 Windows RT 8.1, Windows 8.1 ve Windows Server 2012 R2 için Güncelleştirme Toplaması
Windows 7 veya Windows Server 2008 R2'de bu sorunu gidermek için bu makalenin "Düzeltme bilgileri" bölümünde açıklanan düzeltmeyi yükleyin.
Bu düzeltmeyi yüklemeden önce sertifika yetkilisi tarafından verilen seri numaraları okumak için OCSP hizmeti yapılandırmanız gerekir. Bunu yapmak için seri numarası dosyaları kaydedin ve bu dizine işaret kayıt defteri anahtarlarını oluşturmak için bir dizin konumu oluşturmak için bu bölümdeki adımları izleyin.
Notlar
-
Dizin, bir ağ paylaşımındaki veya yerel bir bilgisayarda barındırılan. Bir dizi yapılandırması ayarlarsanız, tüm dizi üyeleri "erişimi okuyabilmeniz için" ağ paylaşımındaki dizinin ana öneririz.
-
Dizinin bulunduğu ne olursa olsun, OCSP hizmeti dizin için okuma izni olduğundan emin olun. Kayıt defteri ayarlarını, tüm Microsoft çevrimiçi tarafından bu düzeltmenin düzeltme değil Yanıtlayıcılar uygulanmaz.
OCSP hizmetini yapılandırma
Aşağıdaki adımlar, OCSP hizmetini yapılandırdığınız sertifika yetkilisi bilgisayarda çalıştırın.
Adım 1: Dizin yapısı
-
Not Defteri'ni başlatın ve aşağıdaki örnek komut dosyası yeni bir belgeye yapıştırın:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Yeni belgeyi Certs.ps1kaydedin.
-
Verilen seri numaraları için karşılık gelen boş dosyaları depolanacak olan bir dizin oluşturun.
-
Certs.ps1 komut dosyasını çalıştırın. Bunu yapmak için Windows PowerShell içinde aşağıdaki komutu çalıştırın:
Certs.ps1 < 3. adımda oluşturulan dizin konumunu >
-
Dosyalar verilen seri numaralarına karşılık emin olmak için 3. adımda oluşturduğunuz dizini inceleyin.
Not: Ortamınızda bulunan birden fazla CA varsa, karşılık gelen seri numarası dizinlerine farklı olduğundan emin olun. Aynı dizinde farklı CA'lar arasında paylaştırma. -
CA bilgisayarında komut dosyasını çalıştırmak ve kısıtlayıcı ACL vererek kaydedilmiş dosyayı karşıya yüklemeyi. Dosyayı düzenlenebilir olmamalıdır. Microsoft Çevrimiçi Yanıtlayıcı bilgisayarlar bu konum erişebildiğinden emin olun.
Bu yordam hakkında daha fazla bilgi
Microsoft Çevrimiçi Yanıtlayıcı için verilen tüm sertifikaların ancak henüz 6. adımda oluşturduğunuz dosyayı bilinmeyen değeri döndürür. Bu komut dosyasını düzenli aralıklarla çalıştırın ve güncel bir durum sağlamak Microsoft Çevrimiçi Yanıtlayıcı için sırayla yeniledi. Bu aralığı ayarı, belirli dağıtım ortamınızı bağlı olacaktır. Sonraki CRL değeri için herhangi bir dört saat uygun bir aralığı seçin yayımlama tarihi öneririz.
Adım 2: kayıt defteri
Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kayıt defterini kendi sorumluluğunuzda değiştirin.
-
Tüm Windows uygulamalarını kapatın.
-
Başlat' ı tıklatın, Çalıştır' ı tıklatın, regedityazın ve Tamam' ı tıklatın.
-
Aşağıdaki kayıt defteri alt anahtarını bulun ve seçin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Dizin yapısı oluşturduğunuz sertifika yetkilisi (CA) tıklatın.
-
Sağlayıcı düğümünüsağ tıklatın, Yeni' nin üzerine ve sonra Çok dizeli değer' i tıklatın.
-
IssuedSerialNumbersDirectoriesyazın ve Enter tuşuna basın.
-
IssuedSerialNumbersDirectoriessağ tıklatın ve sonra Değiştir' i tıklatın.
-
Değer verisi kutusuna dizin yapısı yordamın 3. adımında oluşturulan verilen seri numaralarını içeren ve sonra Tamam' ı tıklatın ve dizin yolunu yazın.
Dizin yolu için aşağıdaki biçimi kullanın:\\<computername>\<directorylocation>Örneğin, aşağıdakine benzer bir yol kullanın:
\\contoso-ocspfileserver\SerialNumbers
-
Dosya menüsünden Çık'ı tıklatarak Kayıt Defteri Düzenleyicisi'nden çıkın.
-
Bu makalede açıklanan düzeltme paketini yükleyin.
"Dizin yapısı" ve "Kayıt defteri" adımları izledikten sonra bu makalede açıklanan düzeltme paketini yükleyin.
Sonuçları
Düzeltme yüklendikten sonra Çevrimiçi Yanıtlayıcı hizmeti aşağıdakileri yapmanız gerekir:
-
Doğrulanan sertifikalar için iyi bir değeri döndürür
-
İptal edilen CRL içinde bulunan sertifikalar için değeri döndürür
-
Doğrulanamıyor tüm sertifikalar için bilinmeyen bir değeri döndürür
Düzeltme bilgileri
Desteklenen bir düzeltme Microsoft Support'tan edinilebilir. Ancak bu düzeltme yalnızca bu makalede anlatılan sorunu düzeltmek amacıyla hazırlanmıştır. Bu düzeltmeyi yalnızca bu makalede açıklanan sorunun yaşandığı sistemlere uygulayın. Bu düzeltme, ek test süreci gerektirebilir. Bu nedenle bu sorundan ciddi bir şekilde etkilenmiyorsanız, bu düzeltmeyi içeren bir sonraki yazılım güncelleştirmesini beklemeniz önerilir.
İndirilebilir bir düzeltme varsa, bu Bilgi Bankası makalesinin üst kısmında "Düzeltme İndirilebilir" bölümü bulunur. Bu bölüm görünmüyorsa, düzeltmeyi edinmek üzere Microsoft Müşteri Hizmetleri ve Destek'e başvurun.
Not: Ek sorunlar oluşursa veya sorun giderme gerekiyorsa, ayrı bir hizmet isteği oluşturmanız gerekebilir. Ek destek sorularına ve bu düzeltme için geçerli olmayan sorunlara normal destek ücretleri uygulanır. Microsoft Müşteri Hizmetleri ve Destek telefon numaralarının tam listesi ya da ayrı bir hizmet isteği oluşturmak için aşağıdaki Microsoft web sitesine gidin:
http://support.microsoft.com/contactus/?ws=supportNot: "Düzeltme indirilebilir” formu, düzeltmenin indirilebildiği dilleri görüntüler. Kendi dilinizi görmüyorsanız, bu dil için bir düzeltme mevcut değil demektir.
Önkoşullar
Bu düzeltmeyi uygulamak için Windows 7 veya Windows Server 2008 R2 için Service Pack 1 olmalıdır.
Yeniden başlatma gereksinimi
Bu düzeltmeyi uyguladıktan sonra bilgisayarı yeniden başlatmanız gerekmez.
Düzeltme değiştirme bilgileri
Bu düzeltme önceden yayımlanmış bir düzeltmenin yerini almaz.
Bu düzeltmenin İngilizce (ABD) sürümü aşağıdaki tablolarda listelenen özniteliklere sahip dosyaları yükler. Bu dosyaların tarih ve saatleri Eşgüdümlü Evrensel Saat'te (UTC) listelenmiştir. Yerel bilgisayarınızda bu dosyaların tarih ve saatleri, yerel saatiniz ile geçerli gün ışığından yararlanma saati (DST) bilgilerine göre görüntülenir. Ayrıca, dosyalarda belirli işlemleri gerçekleştirdiğinizde tarihler ve saatler değişebilir.
Windows 7 ve Windows Server 2008 R2 dosya bilgileri ve notlarıÖnemli Windows 7 düzeltmeleri ve Windows Server 2008 R2 düzeltmeleri aynı paketlerinde bulunur. Ancak, düzeltmeler düzeltme isteği sayfasında her iki işletim sistemi altında listelenir. Bir veya her iki işletim sistemleri için geçerli olan düzeltme paketini istemek için "Windows 7/Windows altında Server 2008 R2" sayfada listelenen düzeltme'yi seçin. Her zaman her düzeltmenin uygulandığı gerçek işletim sistemini belirlemek için makaleleri "Aşağıdakilere Uygulanır" bölümüne bakın.
-
Belirli bir ürün, SR_Düzeyi (RTM, SPn) ve hizmet dalı (LDR, GDR) dosyaları, aşağıdaki tabloda gösterildiği şekilde dosya sürümü numaraları incelenerek belirlenebilir.
Sürüm
Ürün
SR_Level
Hizmet dalı
6.1.760
1. 22xxxWindows 7 ve Windows Server 2008 R2
SP1
LDR
-
GDR hizmet dalları yalnızca yaygın olarak karşılaşılan oldukça önemli sorunları gidermek üzere kapsamlı olarak yayımlanmış düzeltmeleri içerir. LDR hizmet dalları, kapsamlı olarak yayımlanan düzeltmelerden başka düzeltmeler de içerir.
-
Şunlardır dosyaları (.manifest) ve yüklü olan MUM dosyaları (.mum her ortam için) "Ek bilgi için Windows 7 ve Windows Server 2008 R2 dosya" bölümünde ayrı olarak listelenmektedir . MUM ve MANIFEST dosyalarının yanı sıra bunların ilişkili güvenlik kataloğu (.cat) dosyaları güncelleştirilmiş bileşenlerin durumunu korumak için çok önemlidir. Özniteliklerin listelenmediği güvenlik kataloğu dosyaları, Microsoft dijital imzası kullanılarak imzalanmıştır.
Windows 7'nin desteklenen tüm x86 tabanlı sürümleri için
|
Dosya adı |
Dosya sürümü |
Dosya boyutu |
Tarih |
Saat |
Platform |
SP gereksinimi |
Hizmet dalı |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Hiçbiri |
Geçerli değil |
|
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Windows 7 ve Windows Server 2008 R2'nin tüm desteklenen x64 tabanlı sürümleri
|
Dosya adı |
Dosya sürümü |
Dosya boyutu |
Tarih |
Saat |
Platform |
SP gereksinimi |
Hizmet dalı |
|---|---|---|---|---|---|---|---|
|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Hiçbiri |
Geçerli değil |
|
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Hiçbiri |
Geçerli değil |
Windows 7 ve Windows Server 2008 R2 için ek dosya bilgileri
Windows 7'nin desteklenen tüm x86 tabanlı sürümleri için ek dosyalar
|
Dosya özelliği |
Değer |
|---|---|
|
Dosya adı |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
720 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
13:22 |
|
Platform |
Geçerli değil |
|
Dosya adı |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
719 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
13:22 |
|
Platform |
Geçerli değil |
|
Dosya adı |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
63,628 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
07:59 |
|
Platform |
Geçerli değil |
|
Dosya adı |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
11,236 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
08:00 |
|
Platform |
Geçerli değil |
Windows 7 ve Windows Server 2008 R2'in tüm desteklenen x64 tabanlı sürümleri için ek dosyalar
|
Dosya özelliği |
Değer |
|---|---|
|
Dosya adı |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
723 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
13:22 |
|
Platform |
Geçerli değil |
|
Dosya adı |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
721 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
13:22 |
|
Platform |
Geçerli değil |
|
Dosya adı |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
724 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
13:22 |
|
Platform |
Geçerli değil |
|
Dosya adı |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
63,632 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
08:30 |
|
Platform |
Geçerli değil |
|
Dosya adı |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
11,240 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
08:30 |
|
Platform |
Geçerli değil |
|
Dosya adı |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
|
Dosya sürümü |
Geçerli değil |
|
Dosya boyutu |
63,628 |
|
Tarih (UTC) |
30-May-2014 |
|
Saat (UTC) |
07:59 |
|
Platform |
Geçerli değil |
Durum
Microsoft bu sorunun "Aşağıdakilere Uygulanır" bölümünde listelenen Microsoft ürünlerinde bulunduğunu onaylamıştır.
Daha fazla bilgi
Bu düzeltmeyi Microsoft OCSP Yanıtlayıcı tüm sertifikaları hakkında aşağıdakiler doğrudur farkında yapar bir tasarım değişikliği sağlar:
-
Bunlar, CA tarafından verilir.
-
Bunlar iptal edilir değil.
-
Şu anda kendi geçerlilik süresi içinde değildirler.
Başvurular
Microsoft yazılım güncelleştirmelerini açıklamak için kullandığı terminoloji hakkında ek bilgi edinin.
