Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Trình duyệt của bạn không được hỗ trợ

Bạn cần cập nhật trình duyệt của mình để sử dụng trang web.

Cập nhật lên Internet Explorer phiên bản mới nhất.

Mô tả của những thay đổi để mạng lấy đối tượng PKI trong Windows Vista Service Pack 1 và Windows Server 2008

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 946401
Quan trọng Bài viết này chứa thông tin về làm thế nào để sửa đổi sổ kiểm nhập. Đảm bảo rằng bạn sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Hãy chắc chắn rằng bạn biết làm thế nào để khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu, khôi phục và sửa đổi sổ kiểm nhập, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows
Tóm tắt
Trong giấy chứng nhận kiểm tra đường dẫn, Windows Vista Service Pack 1 (SP1) và Windows Server 2008 có thể lấy các đối tượng như giấy chứng nhận và thu hồi chứng chỉ danh sách (CRLs) từ mạng. Windows Vista SP1 và Windows Server 2008 hỗ trợ chức năng này lấy mạng bằng cách sử dụng giao thức TỆP, giao thức HTTP, và các giao thức LDAP.

theo mặc định, các giao thức TỆP cho mạng truy của hạ tầng khóa công khai (PKI) đối tượng vô hiệu hoá để cải thiện an ninh trong quá trình lấy mạng. Ngoài ra, trong quá trình lấy mạng sử dụng giao thức LDAP hoặc giao thức HTTP được sửa đổi trong Windows Vista SP1 và Windows Server 2008. Để biết thêm chi tiết về những thay đổi này, hãy xem phần "Thông tin".
Thông tin thêm
Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác bằng cách sử dụng ký biên soạn hoặc bằng cách sử dụng một phương pháp. Những vấn đề này có thể yêu cầu bạn cài đặt chuyên biệt lại hệ điều hành. Microsoft không thể đảm bảo rằng những vấn đề này có thể được giải quyết. Sửa đổi registry nguy cơ của riêng bạn.

Lưu ý Chứng chỉ vẫn có thể sử dụng đường dẫn quy ước đặt tên phổ quát (UNC) phát hành CRLs tới vị trí mạng. Điều này có thể hữu ích nếu vị trí mạng được chia sẻ như thư web máy chủ ảo mục, trong đó cung cấp truy cập đến CRLs qua HTTP.

Những thay đổi trong quá trình lấy mạng sử dụng giao thức TỆP

theo mặc định, quá trình tra cứu mạng sử dụng giao thức TỆP bị vô hiệu hoá cho các giấy chứng nhận hoạt động. Nếu bạn muốn kích hoạt tính năng này, hãy làm theo các bước sau:
  1. Bấm chuột Bắt đầu, bấm vào Chạy, loại regedit, và sau đó nhấp vào Ok.
  2. Xác định vị trí registry subkey sau đây, và sau đó nhấp vào nó:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Lưu ýCho 32-bit các ứng dụng trên nền tảng 64-bit, xác định vị trí registry subkey sau đây, và sau đó nhấp vào nó:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Bấm chuột phải vào Cấu hình, trỏ đến Mới, và sau đó nhấp vào Giá trị DWORD.
  4. Loại AllowFileUrlScheme, và sau đó nhấn ENTER.
  5. Bấm chuột phải vào AllowFileUrlScheme, và sau đó nhấp vào Sửa đổi.
  6. Trong các Dữ liệu giá trị hộp, loại 0x01, và sau đó nhấp vào Ok.
  7. Trên các Tập tin trình đơn, nhấp vào Lối ra.
cài đặt chuyên biệt này reverts máy tính để các hành vi của Windows XP Service Pack 2 (SP2), Windows Server 2003 SP1, và phiên bản phát hành của Windows Vista.

Những thay đổi trong quá trình lấy mạng sử dụng giao thức LDAP

theo mặc định, khách hàng PKI trong Windows Vista SP1 và Windows Server 2008 dấu kiểm hiệu và mã hóa tất cả lưu lượng truy cập LDAP cho PKI đối tượng. Ngoài ra, nếu xác thực là cần thiết chỉ để thu hồi mạng, xác thực Kerberos được thực hiện. Để thử nghiệm, bạn có thể vô hiệu hóa chức năng trong Windows Vista SP1 và Windows Server 2008 có dấu kiểm hiệu và mã hóa LDAP lưu lượng truy cập. Để làm điều này, hãy làm theo các bước sau:
  1. Bấm chuột Bắt đầu, bấm vào Chạy, loại regedit, và sau đó nhấp vào Ok.
  2. Xác định vị trí registry subkey sau đây, và sau đó nhấp vào nó:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
    Lưu ýCho 32-bit các ứng dụng trên nền tảng 64-bit, xác định vị trí registry subkey sau đây, và sau đó nhấp vào nó:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Bấm chuột phải vào Cấu hình, trỏ đến Mới, và sau đó nhấp vào Giá trị DWORD.
  4. Loại DisableLDAPSignAndEncrypt, và sau đó nhấn ENTER.
  5. Bấm chuột phải vào DisableLDAPSignAndEncrypt, và sau đó nhấp vào Sửa đổi.
  6. Trong các Dữ liệu giá trị hộp, loại 0x01, và sau đó nhấp vào Ok.
  7. Trên các Tập tin trình đơn, nhấp vào Lối ra.
Sau khi bạn áp dụng thiết đặt này, NTLM uỷ nhiệm hoặc ủy nhiệm Kerberos được sử dụng để xác thực. Ngoài ra, dấu kiểm hiệu cờ và cờ mã hóa không được thiết lập trong các yêu cầu LDAP. cài đặt chuyên biệt này reverts máy tính đến hành vi của Windows XP SP2, Windows Server 2003 SP1, và phiên bản phát hành của Windows Vista.

Các thay đổi trong quá trình lấy mạng sử dụng giao thức HTTP

Trong khách hàng PKI trong Windows Vista SP1 và Windows Server 2008, một quá trình tra cứu mạng sử dụng giao thức HTTP thực hiện xác thực chỉ cho proxy được cấu hình tại địa phương. Cho dù xác thực được thực hiện phụ thuộc vào thông báo lỗi được trả lại từ các proxy. Nếu proxy trả về thông báo lỗi sau, xác thực được thực hiện:
HTTP 407: Xác thực Proxy yêu cầu
Nếu proxy trả về thông báo lỗi sau, xác thực không được thực hiện:
HTTP 401: Truy cập bị từ chối
Lưu ý Nếu xác thực proxy là cần thiết, NTLM xác thực và xác thực Kerberos sẽ được thực hiện.

Nếu bạn muốn thay đổi hành vi mặc định này, hãy làm theo các bước sau:
  1. Bấm chuột Bắt đầu, bấm vào Chạy, loại regedit, và sau đó nhấp vào Ok.
  2. Xác định vị trí registry subkey sau đây, và sau đó nhấp vào nó:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    Lưu ýCho 32-bit các ứng dụng trên nền tảng 64-bit, xác định vị trí registry subkey sau đây, và sau đó nhấp vào nó:
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
  3. Bấm chuột phải vào Cấu hình, trỏ đến Mới, và sau đó nhấp vào Giá trị DWORD.
  4. Loại EnableInetUnknownAuth, và sau đó nhấn ENTER.
  5. Bấm chuột phải vào EnableInetUnknownAuth, và sau đó nhấp vào Sửa đổi.
  6. Trong các Dữ liệu giá trị hộp, loại 0x01, và sau đó nhấp vào Ok.
  7. Trên các Tập tin trình đơn, nhấp vào Lối ra.
Sau khi bạn áp dụng thiết đặt này, xác thực bây giờ được thực hiện khi các proxy trả lại một "HTTP 401" thông báo lỗi. cài đặt chuyên biệt này reverts máy tính đến hành vi của Windows XP SP2, Windows Server 2003 SP1, và phiên bản phát hành của Windows Vista.

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 946401 - Xem lại Lần cuối: 03/15/2013 03:34:00 - Bản sửa đổi: 1.0

  • Windows Vista Service Pack 1
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • kbexpertiseinter kbhowto kbinfo kbmt KB946401 KbMtvi
Phản hồi
l = ""; document.write(" osoft.com/ms.js'><\/script>");