Причини
Розглянемо таку ситуацію:
-
У вас служби Microsoft Online-відповідачем на сервері під керуванням Windows Server 2008 R2 або Windows Server 2012 R2.
-
Сервер використовується, настроювання та керування Інтернет протоколу визначення стану сертифіката (OCSP) перевірки.
У такому випадку служба Online відповідачем не повертає перебазування значення для всіх сертифікатів, які не включено у списку відкликаних сертифікатів (CRL).
Причина
Ця проблема виникає в тому, що в OCSP не перевірити підтверджено Джерело сертифіката було фактично видано за його до відповідного центру сертифікації. Замість цього, якщо сертифікат не входить до CRL, служба Online відповідачем припускає, що сертифікат дійсний і повернуто значення добре.
Вирішення
Для вирішення цієї проблеми у Windows 8,1 або Windows Server 2012 R2, інсталюйте оновлення 2967917. Щоб отримати додаткові відомості, клацніть номер статті в базі знань Microsoft:
2967917 липня 2014 зведене оновлення для ОС Windows RT 8,1 Windows 8.1 та Windows Server 2012 R2
Для вирішення цієї проблеми у Windows 7 або Windows Server 2008 R2, інсталюйте виправлення, описане в розділі "Відомості про виправлення" в цій статті.
Перш ніж інсталювати це виправлення, потрібно настроїти службу OCSP прочитати порядкових номерів, які видаються центром сертифікації. Щоб це зробити, виконайте дії, описані в цьому розділі, щоб створити каталог місце, де потрібно зберегти файли-порядковий номер, так і для створення розділів реєстру, які вказують на цей каталог.
Примітки
-
Каталог розташований на спільному мережному ресурсі або розміщених на локальному комп'ютері. Налаштовано на масив конфігурації, рекомендовано розміщення каталог на спільному мережному ресурсі всіх членів-масив може мати "читання" доступ до нього.
-
Незалежно від того, де знаходиться в каталозі переконайтеся, що служба OCSP, має дозвіл на читання каталогу. Настройки реєстру будь-які Microsoft Online реагування, які не виправлена, це виправлення не стягується.
Настроювання служби OCSP
На комп'ютері центру сертифікації, для яких настроєно OCSP служби, запустіть наведені нижче дії.
Крок 1: Каталог структури
-
Відкрийте блокнот і вставте в новий документ нижче зразок сценарію:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Зберегти новий документ, як Certs.ps1.
-
Створіть каталог пусті файли, пов'язані зі порядкових номерів, які випущені не зберігати.
-
Сценарій Certs.ps1. Для цього виконайте таку команду, у Windows PowerShell:
Certs.ps1 < каталог розташування, створений на кроці 3 >
-
Перегляньте каталог, створений на кроці 3, щоб переконатися, що файли відповідають випущено серійні номери.
Примітка. За наявності кількох клієнтського доступу, що розміщеним у вашому середовищі, переконайтеся, що їх відповідні каталоги-порядковий номер відрізняються. Спільного доступу до того самого каталогу між різними CAs. -
Запустити сценарій на комп'ютері, Каліфорнія і завантажити збережений файл, надавши їм обмежувальний ACL. Не слід для редагування файлу. Переконайтеся, що всі комп'ютери корпорації Майкрософт в Інтернеті відповідачем доступ до цього розташування.
Щоб отримати додаткові відомості про виконання цієї процедури
Microsoft в Інтернеті відповідачем, повертає значення невідомих всі сертифікати, які випускаються, але ще не у файл, створений на кроці 6. Цей сценарій необхідно запустити в тривалого та оновлення для того, щоб Microsoft Online відповідачем, забезпечити на Постійне оновлення стану. Цей параметр, інтервал виходячи з ваше програмне середовище для певного розгортання. Ми рекомендуємо вибрати до відповідного інтервал від 4: 00 до значення наступного CRL публікації дати.
Крок 2: реєстру
Увага! Неправильне внесення змін до реєстру за допомогою редактора реєстру або іншим способом може викликати серйозні проблеми. Ці проблеми можуть викликати необхідність перевстановити операційну систему. Корпорація Майкрософт не гарантує, що можна вирішити ці проблеми. Вносьте зміни до реєстру на власний ризик.
-
Закрийте всі вікна програми.
-
Натисніть кнопку Пуск, натисніть Запустити, введіть regedit і натисніть кнопку OK.
-
Знайдіть і виберіть такий підрозділ реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Виберіть центр сертифікації (CA), для якого було створено структури каталогів.
-
Постачальник вузла, клацніть правою кнопкою миші, створитита клацніть Мультирядковий.
-
Введіть IssuedSerialNumbersDirectoriesі натисніть клавішу Enter.
-
IssuedSerialNumbersDirectories, клацніть правою кнопкою миші та виберіть команду змінити.
-
У полі значення , введіть шлях до каталогу, створений на кроці 3, процедури структуру каталогів і, містить випущено порядкових номерів і натисніть кнопку OK.
Шлях до каталогу використовуйте такий формат:\\<computername>\<directorylocation>Використати, наприклад, шлях, приблизно такого вигляду:
\\contoso-ocspfileserver\SerialNumbers
-
У меню " файл " натисніть кнопку " Exit , щоб закрити редактор реєстру".
-
Інсталювати пакет виправлень, описане в цій статті.
Після виконання "Каталог Структура" і "Реєстру" дії, інсталюйте пакет виправлень, які згадуються в цій статті.
Результати
Після інсталяції виправлення онлайн відповідачем служба має виконайте такі дії.
-
Повернути значення для сертифікатів, що перевіряються
-
Повертає значення REVOKED сертифікати, що входять до складу до CRL
-
Повернення значення невідомих для всіх сертифікатів, які не вдалося перевірити
Відомості про виправлення
Виправлення доступне підтримки корпорації Майкрософт. Проте, це виправлення призначене тільки для вирішення проблеми, описаної в цій статті. Застосовуйте це виправлення лише до систем, які відчувають проблеми, описані в цій статті. Це виправлення може отримати додаткове тестування. Тому, якщо ця проблема не сильно впливає на вас, ми рекомендуємо почекати наступного оновлення програмного забезпечення, що містить це виправлення.
Якщо Виправлення доступне для завантаження, є розділ "Виправлення доступне для завантаження" на початку цієї статті бази знань. Якщо цей розділ не відображається, зверніться до служби підтримки клієнтів Microsoft, щоб отримати виправлення.
Примітка. Якщо виникають додаткові проблеми, або потрібно виявлення проблем, можливо, доведеться створити окремий запит на обслуговування. Звичайні кошти на технічну підтримку будуть застосовуватися для додаткових питань і проблем, які не пов'язані з цим виправленням. Для повного списку телефонів служби підтримки користувачів і технічної підтримки або для створення окремого запиту на обслуговування див. веб-сайт корпорації Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримітка. У формі "Виправлення доступне для завантаження" відображається список мов, для яких це виправлення доступне. Якщо потрібна мова не відображається, то виправлення недоступне для даної мови.
Попередні вимоги
Щоб застосувати це виправлення, потрібно з пакетом оновлень 1 для Windows 7 або Windows Server 2008 R2 інстальовано.
Необхідність перезавантаження
Вам не потрібно перезавантажувати комп'ютер, після застосування цього виправлення.
Відомості про заміну виправлень
Це виправлення не замінює будь-які попередні випуски виправлень.
Англійська (США) версії цього виправлення на комп'ютері буде інстальовано файли з атрибутами, зазначеними в наведених нижче таблицях. Значення дати й часу для цих файлів наведено за всесвітнім координованим часом (UTC). Значення дати й часу для цих файлів на локальному комп'ютері відображаються за місцевим часом разом з врахуванням поточного переходу на літній час (DST). Крім того, значення дати й часу можуть змінюватися після виконання певних дій із файлами.
Windows 7 і Windows Server 2008 R2 відомості про файли та нотаткиУвага! Виправлення для ОС Windows 7 і Windows Server 2008 R2 входять до одного пакета. Однак, термінові виправлення зазначені на сторінці запиту виправлення списку для обох операційних систем. Щоб отримати пакет виправлень для однієї або обох операційних систем виберіть виправлення вказане в розділі "Windows 7/Windows Server 2008 R2". Завжди переглядайте розділ "Застосовується до", щоб визначити, до якої саме операційної системи застосовується виправлення.
-
Файли, які стосуються певного продукту, випуску (RTM, SP-n), і типу підтримки (LDR, GDR), можна визначити за властивістю номерами версій, указаними в наведеній нижче таблиці.
Версія
Продукт
SR_Level
Галузь
6.1.760
1. 22xxxWindows 7 і Windows Server 2008 R2
SP1
LDR
-
GDR, містять лише загальнодоступні виправлення, яких є для вирішення поширених і критичних проблем. LDR містять поточні виправлення в додаток до виправлень, випущених з великими інтервалами.
-
Файли з розширеннями MANIFEST (.MANIFEST) і MUM (.MUM), які інсталюються в кожній системі, зазначаються окремо в розділі "Додаткові відомості про файли для Windows 7 і Windows Server 2008 R2". Файли з РОЗШИРЕННЯМ і файли з розширеннями MANIFEST і на пов'язані файли каталогу безпеки (. cat), є надзвичайно важливі для відстеження стану оновлюваних компонентів. Файли каталогу безпеки, для яких не вказано атрибути, підписані цифровим підписом корпорації Майкрософт.
Для всіх підтримуваних версій Windows 7 x86
Ім'я файлу |
Версія файлу |
Розмір файлу |
Дата |
Час |
Платформа |
Потрібний пакет |
Галузь |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Немає |
Не застосовується |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
УРП |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Для всіх підтримуваних версій Windows 7 і Windows Server 2008 R2 x64
Ім'я файлу |
Версія файлу |
Розмір файлу |
Дата |
Час |
Платформа |
Потрібний пакет |
Галузь |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Немає |
Не застосовується |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
УРП |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Немає |
Не застосовується |
Відомості про додаткові файли для ОС Windows 7 і Windows Server 2008 R2
Додаткові файли для всіх підтримуваних версій ОС Windows 7 x86
Властивості файлу |
Значення |
---|---|
Ім'я файлу |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
720 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
13:22 |
Платформа |
Не застосовується |
Ім'я файлу |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
719 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
13:22 |
Платформа |
Не застосовується |
Ім'я файлу |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
63,628 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
07:59 |
Платформа |
Не застосовується |
Ім'я файлу |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
11,236 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
08:00 |
Платформа |
Не застосовується |
Додаткові файли для всіх підтримуваних версій ОС Windows 7 і Windows Server 2008 R2 x64
Властивості файлу |
Значення |
---|---|
Ім'я файлу |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
723 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
13:22 |
Платформа |
Не застосовується |
Ім'я файлу |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
721 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
13:22 |
Платформа |
Не застосовується |
Ім'я файлу |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
724 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
13:22 |
Платформа |
Не застосовується |
Ім'я файлу |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
63,632 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
08:30 |
Платформа |
Не застосовується |
Ім'я файлу |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
11,240 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
08:30 |
Платформа |
Не застосовується |
Ім'я файлу |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Версія файлу |
Не застосовується |
Розмір файлу |
63,628 |
Дата (UTC) |
30-May-2014 |
Час (UTC) |
07:59 |
Платформа |
Не застосовується |
Стан
Корпорація Майкрософт підтвердила існування цієї неполадки у продуктах Майкрософт, перелічених у розділі "Застосовується до".
Додаткові відомості
Це виправлення, передбачає внесення змін, що робить OCSP-відповідачем корпорації Майкрософт відомо, що всі сертифікати, про яку наведено умов:
-
Вони видаються CA.
-
Не відкликано.
-
Вони в їх власних терміну.
Посилання
Відомості про термінологію , яку використовує корпорація Майкрософт для опису оновлень програмного забезпечення.