Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Trình duyệt của bạn không được hỗ trợ

Bạn cần cập nhật trình duyệt của mình để sử dụng trang web.

Cập nhật lên Internet Explorer phiên bản mới nhất.

Cập Nhật VeriSign Web Server giấy chứng nhận ngay cho IIS: một VeriSign hết hạn Trung cấp giấy chứng nhận có thể dẫn đến không xác nhận kết nối đến các web site sử dụng SSL

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 834438
Tóm tắt
Chứng nhận cơ quan cấp giấy chứng nhận VeriSign 128-bit quốc tế (toàn cầu) máy chủ trung gian trước hết hạn ngày 7 tháng 1 năm 2004. Điều này có thể gây ra vấn đề cho các khách hàng cố gắng để thiết lập xác thực máy chủ cổng bảo mật layer (SSL) kết nối với Máy chủ Web và các ứng dụng SSL/Transport Layer Security TLS-cho phép không có giấy chứng nhận thông tin mới nhất.

Để ngăn ngừa những vấn đề này, sử dụng Microsoft Internet Information Services (IIS) nên liên hệ với VeriSign để cập nhật chứng điều khiển trung cấp chứng nhận cho các máy chủ sử dụng 128-bit SSL để kết nối với web site với Secure Hypertext Transfer Protocol.

Tác động

Khách hàng không thể thiết lập SSL bảo vệ kết nối đến Máy chủ Web mà không có giấy chứng nhận Cập Nhật.

Giới thiệu

cài đặt chuyên biệt các phiên bản Cập Nhật của chứng chỉ trung gian của VeriSign.

Bị ảnh hưởng phần mềm

  • Hệ phục vụ thông tin Internet của Microsoft
  • Microsoft Internet Security và Acceleration Server
  • Microsoft Exchange
  • Microsoft SQL Server

Chi tiết kỹ thuật

Mô tả kỹ thuật

VeriSign duy trì nhiều chứng chỉ và thu hồi giấy chứng nhận danh sách (CRLs) mà hết hạn hoặc mà đã hết hạn. Điều này không phải là không phổ biến. Thông thường, giấy chứng nhận và CRLs là ngắn ngủi của thiết kế. Tuy nhiên, giấy chứng nhận được đôi khi tái để cung cấp cho họ một tuổi thọ dài hơn. Đây nói chung không phải là một vấn đề, nhưng nó có thể tạo ra vấn đề với các máy chủ sử dụng lớp cổng bảo mật (SSL) để giúp bảo vệ các phiên kết nối với nguồn lực của họ.

Nếu một nhà điều hành máy chủ cài đặt chuyên biệt một giấy chứng nhận SSL từ VeriSign, cùng với chứng nhận cơ quan cấp giấy chứng nhận phát hành có liên quan, và sau đó các nhà điều hành máy chủ sau đó renews giấy chứng nhận SSL thông qua VeriSign, các nhà điều hành máy chủ phải chắc chắn rằng Trung cấp chứng chỉ phát hành được Cập Nhật cùng một lúc.

Nếu bạn muốn cài đặt chuyên biệt chứng chỉ Cập Nhật, hãy ghé thăm VeriSign Web site sau cho các phiên bản mới nhất của các chứng chỉ và các bước để cài đặt chuyên biệt chúng:

Thông tin bổ sung

Xác nhận của một giấy chứng nhận X.509 bao gồm nhiều giai đoạn. Những giai đoạn bao gồm khám phá con đườngđường dẫn xác nhận.

Khám phá con đường là một quá trình xác định nếu một giấy chứng nhận đã được phát hành bởi một thực thể hợp lệ. Bạn có thể sử dụng nhiều kỹ thuật để làm điều này, bao gồm những điều sau đây:
  • Khách hàng thường xuyên duy trì một bộ nhớ cache của chứng chỉ trung gian. Một chứng chỉ trung gian là một chứng chỉ đã được chứng minh hữu ích trong việc xác định nếu một giấy chứng nhận cuối cùng đã được phát hành bởi một cơ quan chứng nhận hợp lệ gốc.

    Giấy chứng nhận có thể chứa các tiện ích mở rộng cung cấp liên kết đến thông tin có liên quan bổ sung. Một ví dụ về loại này của phần mở rộng là phần mở rộng truy cập thông tin uỷ quyền (AIA). Phần mở rộng AIA có thể chứa một con trỏ đến phát hành của giấy chứng nhận.

    Lưu ý Không phải tất cả các chứng chỉ chứa con trỏ này, bao gồm các chứng chỉ VeriSign có liên quan trong vấn đề này. Microsoft đã và sẽ tiếp tục làm việc tích cực với công ty phát hành giấy chứng nhận để khuyến khích họ để bao gồm các thông tin này trong giấy chứng nhận rằng họ phát hành trong tương lai. Để biết thêm chi tiết về phần mở rộng này, xem các yêu cầu Internet Engineering Task Force (IETF) cho ý kiến (RFC) 3280.
  • Máy chủ có thể cung cấp thông tin bổ sung cho khách hàng. SSL là một ví dụ về kỹ thuật này. Trong thương lượng SSL, các máy chủ cung cấp cho khách hàng với giấy chứng nhận riêng của mình và giấy chứng nhận rằng các máy chủ đã xác định rằng khách hàng có thể sử dụng để xác định nhận dạng của máy chủ.

Đường dẫn xác nhận là quá trình xác nhận đường dẫn phát hiện. Xác nhận đường dẫn liên quan đến việc kiểm tra mật mã mỗi chữ ký một giấy chứng nhận. Xác nhận đường dẫn cũng liên quan đến xác minh rằng chính sách của công ty phát hành được thi hành. Chính sách như vậy bao gồm:
  • Liệu nhà cung cấp tin rằng giấy chứng nhận trong câu hỏi vẫn là hợp lệ và vẫn còn dưới sự kiểm soát của người nó đã được ban đầu được phát hành để? Hành vi này thường được gọi là "giấy chứng nhận kiểm thu hồi tra." Windows hỗ trợ một đối tượng mật mã, một danh sách thu hồi giấy chứng nhận (CRL), để thực hiện xác minh này.
  • Chứng chỉ được sử dụng cho một mục đích mà công ty phát hành dự định nó sẽ được sử dụng cho? Ví dụ, một giấy chứng nhận đã được phát hành cho bức e-mail không phải là đáng tin cậy để khẳng định rằng một Máy chủ Web được kết hợp với một tên miền cụ thể (như thực hiện trong SSL).
  • Có giấy chứng nhận hợp lệ thời gian? Giấy chứng nhận cuộc sống kéo dài được hạn chế cho các lý do an ninh. Một nhà phát hành không thể xác nhận rằng một cá nhân hoặc một nguồn tài nguyên có một nhận dạng đặc biệt cho còn công ty phát hành được coi là đáng tin cậy.

câu hỏi thường gặp

Đây có phải là một lỗ hổng bảo mật?

Không. Đây không phải là một lỗ hổng bảo mật trong bất kỳ một trong các sản phẩm bị ảnh hưởng. Các vấn đề kết quả chỉ vì hết hạn chứng chỉ số thức của một bên thứ ba.

Phạm vi của vấn đề là gì?

Gần đây, VeriSign, Inc., một cơ quan cấp giấy chứng nhận chính, đổi mới của họ "VeriSign quốc tế Server CA - lớp 3" cơ quan chứng nhận giấy chứng nhận có một khoảng thời gian hiệu lực lâu hơn. Nếu nhà điều hành Máy chủ Web gia hạn giấy chứng nhận SSL của họ sau khi đổi mới này, khách hàng của họ có thể gặp khó khăn khi họ cố gắng để xác nhận rằng Máy chủ Web của họ là thực sự gắn liền với tổ chức của họ.

Các vấn đề được giải quyết như thế nào?

Bạn có thể giải quyết vấn đề này bằng cách Cập Nhật theo cách thủ công giấy thẩm quyền xác thực (CA) cấp giấy chứng nhận trung bình trên mỗi Máy chủ Web. Để lấy chứng chỉ này, ghé thăm VeriSign Web site sau: Nếu điều này là một vấn đề máy chủ, lý do tại sao khách hàng kinh nghiệm vấn đề?

Vấn đề xảy ra khi một khách hàng cố gắng để thiết lập kết nối bảo mật nâng cao đến một Máy chủ Web. Là một phần của quá trình thiết lập kết nối, Hệ phục vụ đã vượt qua nhiều chứng chỉ trở lại cho khách hàng. Khách hàng sử dụng các chứng chỉ này để xác nhận chứng chỉ của máy chủ. Trong trường hợp này, một trong các nhà chức trách chứng chỉ trung gian (the "hệ phục vụ VeriSign quốc tế CA - lớp 3" CA) đã hết hạn. Chứng chỉ trung gian này là không hợp lệ. Do đó, trình duyệt sẽ hiển thị một thông báo cảnh báo cho người dùng giải thích rằng một tăng cường an ninh kết nối không thể được thiết lập.

Là Microsoft chứng nhận tham gia?

Không. Các chứng chỉ này được phát hành và được sở hữu bởi VeriSign, Inc. VeriSign tham gia vào một chương trình được duy trì bởi Microsoft. Trong chương trình này, nhà cung cấp bên thứ ba tin cậy có thể giúp an toàn Internet thương mại cho khách hàng Microsoft. Để biết thêm chi tiết về chương trình này, ghé thăm Web site sau của Microsoft: Những gì nhà chức trách chứng chỉ tham gia vào chương trình gốc của Microsoft?

Để xem danh sách các hiện tại bên thứ ba đáng tin cậy mà có đủ điều kiện cho chương trình gốc của Microsoft, hãy ghé thăm Web site sau của Microsoft: Hiện Microsoft vẫn Cập Nhật chứng chỉ Microsoft Internet Explorer sử dụng?

Có. Là một phần của chương trình gốc của Microsoft, danh sách các nhà chức trách gốc tin cậy có thể được cập nhật hàng quý. Cho người dùng của Microsoft Windows XP và Microsoft Windows Server 2003, bản cập nhật này xảy ra trong chuỗi xác nhận cơ khi nó được trình bày với một giấy chứng nhận rằng nó không tin tưởng. Khi hành vi này xảy ra, Windows Update sẽ được liên lạc với để xác nhận cho dù giấy chứng nhận đã được thêm vào chương trình gốc. Ngày pre-Windows XP khách hàng, một gói phần mềm được đề nghị được xuất bản tới Cập nhật Windows để tải về hướng dẫn sử dụng. Microsoft khuyến cáo rằng các doanh nghiệp quyết riêng của họ về mà đáng tin cậy bên thứ ba họ muốn người dùng trong doanh nghiệp của họ tin tưởng.

Lưu ý Cập Nhật chương trình gốc của Microsoft cung cấp sẽ không giải quyết các vấn đề VeriSign Trung cấp giấy chứng nhận hết hạn tăng.
Giải pháp
Để giải quyết vấn đề này, Cập nhật các cửa hàng giấy chứng nhận CA trung gian trên mỗi máy chủ của bạn để phiên bản mới nhất của VeriSign quốc tế máy chủ trung gian CA.
Tham khảo
Để biết thêm chi tiết về làm thế nào CryptoAPI xây dựng dây chuyền giấy chứng nhận và xác nhận trạm đậu thu hồi, ghé thăm Web site sau của Microsoft:

Hỗ trợ

Cho một danh sách đầy đủ của Microsoft bản ghi dịch vụ sản phẩm hỗ trợ số điện thoại và thông tin về chi phí hỗ trợ, ghé thăm Web site sau của Microsoft:Lưu ý Trong trường hợp đặc biệt, chi phí mà thường phải gánh chịu cho các cuộc gọi hỗ trợ có thể được hủy bỏ nếu chuyên viên hỗ trợ Microsoft xác định rằng một Cập Nhật cụ thể sẽ giải quyết vấn đề của bạn. Các chi phí hỗ trợ thông thường sẽ áp dụng để hỗ trợ thêm câu hỏi và vấn đề mà không đủ điều kiện cho Cập Nhật cụ thể trong câu hỏi.

An ninh tài nguyên

Để biết thêm chi tiết về bảo mật trong sản phẩm của Microsoft, hãy truy cập trang Microsoft TechNet Web sau đây:

Tuyên bố từ chối

Thông tin cung cấp trong Cơ sở tri thức Microsoft được cung cấp "như là" không có bảo hành của loại nào. Microsoft từ chối mọi bảo đảm, rõ ràng hay ngụ ý, bao gồm bảo hành về khả năng bán và thể dục cho một mục đích cụ thể. Trong trường hợp không có Microsoft Corporation hoặc các nhà cung cấp phải chịu trách nhiệm về bất kỳ thiệt hại nào bao gồm trực tiếp, gián tiếp, ngẫu nhiên, do hậu quả, mất biên lợi nhuận kinh doanh hoặc thiệt hại đặc biệt, ngay cả khi Microsoft công ty hoặc các nhà cung cấp đã được khuyên về khả năng thiệt hại như vậy. Một số tiểu bang không cho phép loại trừ hoặc giới hạn trách nhiệm bồi thường thiệt hại do hậu quả hoặc ngẫu nhiên nên giới hạn trên có thể không áp dụng.

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 834438 - Xem lại Lần cuối: 04/21/2013 03:50:00 - Bản sửa đổi: 4.0

  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • kbinfo kbmt KB834438 KbMtvi
Phản hồi