Bộ đáp ứng trực tuyến Microsoft không thể dịch vụ cầu OCSP chứa nhiều chứng chỉ

Triệu chứng

Bạn có các môi trường sau hai cơ sở hạ tầng khoá công cộng (PKI) trong Windows Server 2012 R2 hoặc Windows Server 2008 R2:

  • PKI môi trường doanh nghiệp bao gồm cơ quan chứng nhận gốc ngoại tuyến (CA) và một doanh nghiệp trực tuyến thuộc CA ban hành.

  • Một độc lập (không phải miền) gốc CA được sử dụng cho mục đích bên ngoài (không corpnet). CA gốc độc lập cũng có cấu hình thu hồi hỗ trợ doanh nghiệp trực tuyến bộ đáp ứng nút. Ví dụ: không chỉ có một máy chủ trực tuyến chứng chỉ tình trạng giao thức (OCSP) và hỗ trợ PKI hai cơ sở hạ tầng.


Trong trường hợp này, các bộ đáp ứng trực tuyến của Microsoft để phục vụ chỉ OCSP yêu cầu có một yêu cầu cho bất kỳ CAs được đề cập trước đó. Nếu yêu cầu OCSP chứa nhiều yêu cầu cho tất cả cấu hình CAs, bộ đáp ứng trực tuyến Microsoft không đáp ứng ngay cả khi CAs được cấu hình.

Nguyên nhân

Sự cố này xảy ra do Windows không tương thích với RFC 2560 X.509 công khoá cơ sở hạ tầng trực tuyến chứng chỉ tình trạng giao thức Internet, ngay cả khi nó là tương thích với RFC 5019 – cấu hình nhẹ trực tuyến chứng chỉ tình trạng giao thức (OCSP) cho môi trường âm lượng cao. Do đó, bộ đáp ứng trực tuyến Microsoft trong Windows không hỗ trợ nhiều chứng chỉ trong một OCSP đơn yêu cầu.

Giải pháp

Để giải quyết vấn đề này, cài đặt bản Cập Nhật cho Windows Server 2012 R2 hoặc cài đặt hotfix được mô tả trong bài viết này.

Thông tin về cập nhật nóng

Một hotfix được hỗ trợ có sẵn từ Microsoft Support. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Áp dụng hotfix này chỉ để cài đặt Microsoft Online bộ đáp ứng phục vụ cho khách hàng OCSP nhiều yêu cầu hỗ trợ. (Ví dụ: lưu ý rằng máy khách Windows không hỗ trợ nhiều yêu cầu trong một yêu cầu OCSP). Cập nhật nóng này có thể được kiểm tra thêm. Vì vậy, nếu bạn không bị ảnh hưởng nghiêm trọng bởi sự cố này, chúng tôi khuyên bạn đợi bản cập nhật phần mềm tiếp theo có chứa cập nhật nóng này.

Nếu cập nhật nóng này sẵn có để tải xuống thì sẽ có phần "Cập nhật nóng có sẵn để tải xuống" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy liên hệ với Dịch vụ Khách hàng và Bộ phận Hỗ trợ của Microsoft để nhận được các cập nhật nóng.

Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy truy cập website sau của Microsoft:

Lưu ý Mẫu "Tải xuống cập nhật nóng sẵn có" hiển thị các ngôn ngữ mà cập nhật nóng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.

Thông tin đăng ký

Để bật hotfix này và cho phép nhiều chứng chỉ trả lời OCSP duy nhất, bạn phải thay đổi khoá con đăng ký sau:

Vị trí đăng ký: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OCSPSvc\Responder
Tên DWORD: MaxNumOfRequestEntries
Giá trị: Giá trị lớn hơn 1
Lưu ý Thiết đặt mặc định cho MaxNumOfRequestEntries giá trị là 1.

Chú ý bổ sung

  1. Tìm hiểu thêm về khoá con đăng ký . Nếu khoá con này không được đặt đúng cách, IIS không nhận được yêu cầu và HTTP.sys không thành công. Ngoài ra, Nhật ký IIS trống, và lỗi 400 được trả lại. Vấn đề này giới hạn độ dài đoạn và bạn phải khởi động lại máy tính.

  2. Tìm hiểu về cách đảm bảo rằng giới hạn yêu cầu được đặt thích hợp cho yêu cầu lớn. Nếu điều này được đặt không đúng, IIS trả về lỗi 404.14 và độ dài đường dẫn được giới hạn.

  3. Sự khác biệt giữa lưu ý 1 và lưu ý 2 không. Chú ý 1 liên quan đến từng phân khúc trong đường dẫn, trong khi lưu ý 2 liên quan đến đường dẫn đầy đủ.

    Ví dụ:

    http://server/ocsp/request

    • Một là bất kỳ một phần của đường dẫn được ngăn cách bằng ký tự chéo (/). Trong ví dụ này, "ocsp" và "yêu cầu" là phân đoạn riêng biệt vì chúng được phân tách bằng ký tự chéo.

    • Trong đường dẫn này /ocsp/request là đường dẫn.


Điều kiện tiên quyết

Để áp dụng hotfix này, bạn phải có cho Windows Server 2008 R2 cài đặt hoặc trong Windows Server 2012 R2.

Yêu cầu khởi động lại

Bạn không phải khởi động lại máy tính sau khi bạn áp dụng hotfix này.

Thông tin thay thế cập nhật nóng

Hotfix này không thay thế bất kỳ hotfix nào phát hành trước đó.

Phiên bản tiếng Anh (Hoa Kỳ) của hotfix này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Phối hợp Quốc tế (UTC). Ngày và giờ của các tệp này trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ cũng có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.


Ghi chú thông tin tệp Windows RT 8.1, Windows 8.1 và Windows Server 2012 R2Quan trọng Các hotfix Windows 8.1 và Windows Server 2012 R2 được bao gồm trong cùng gói. Tuy nhiên, chỉ "Windows 8.1" được liệt kê trên trang yêu cầu Hotfix. Để yêu cầu gói hotfix áp dụng cho một hoặc cả hai hệ điều hành, hãy chọn hotfix được liệt kê trong "Windows 8.1" trên trang. Luôn tham khảo phần "Áp dụng Cho" trong bài viết để xác định hệ điều hành thực mà mỗi cập nhật nóng áp dụng cho.

  • Các tệp áp dụng cho một sản phẩm cụ thể, bản gốc (RTM, SPn) và chi nhánh dịch vụ (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau:

  • Các tệp MANIFEST (.manifest) và MUM (.mum) sẽ được cài đặt cho từng môi trường chưa được liệt kê.

Trạng thái

Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".

Tham khảo

Tìm hiểu về Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×