Triệu chứng

Xem xét tình huống sau:

  • Bạn có các dịch vụ Microsoft Online bộ đáp ứng được cài đặt trên máy chủ đang chạy Windows Server 2008 R2 hoặc Windows Server 2012 R2.

  • Máy chủ được sử dụng để cấu hình và quản lý các Giao thức trạng thái chứng chỉ trực tuyến (OCSP) xác nhận.


Trong trường hợp này, Dịch vụ trực tuyến bộ đáp ứng trả về giá trị xác định tốt cho tất cả các chứng chỉ không có trong danh sách thu hồi chứng chỉ (CRL).

Nguyên nhân

Sự cố này xảy ra do OCSP xác minh nguồn xác nhận chứng chỉ thực sự được cung cấp bởi các nhà chức trách chứng chỉ tương ứng. Thay vào đó, nếu chứng chỉ không được bao gồm trong CRL, Dịch vụ trực tuyến bộ đáp ứng nhận chứng chỉ hợp lệ và trả lại giá trị tốt.

Giải pháp

Để khắc phục sự cố này trong Windows 8.1 hoặc Windows Server 2012 R2, cài đặt bản Cập Nhật 2967917. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

2967917 tháng 4 năm 2014 bản Cập Nhật cho Windows RT 8.1, Windows 8.1 và Windows Server 2012 R2
Để khắc phục sự cố này trong Windows 7 hoặc Windows Server 2008 R2, cài đặt hotfix được mô tả trong phần "Thông tin Hotfix" trong bài viết này.

Trước khi cài đặt hotfix này, bạn phải cấu hình dịch vụ OCSP đọc số được cung cấp bởi nhà chức trách chứng chỉ. Để thực hiện việc này, hãy làm theo các bước trong phần này để tạo một vị trí thư mục nơi lưu tệp số và tạo khoá đăng ký trỏ đến thư mục này.

Lưu ý:

  • Thư mục có thể được nằm trên mạng chia sẻ hoặc lưu trữ trên máy tính cục bộ. Nếu bạn thiết lập cấu hình mảng, chúng tôi khuyên bạn lưu trữ thư mục chia sẻ mạng để tất cả các thành viên mảng có thể đã "đọc" truy cập vào nó.

  • Bất kể mục nằm ở đâu, đảm bảo rằng dịch vụ OCSP có quyền đọc cho thư mục. Cài đặt đăng ký sẽ không áp dụng cho bất kỳ ứng trực tuyến Microsoft không vá hotfix này.

Cấu hình dịch vụ OCSP

Chạy các bước sau trên máy tính chứng chỉ mà bạn đã cấu hình dịch vụ OCSP.

Bước 1: Cấu trúc thư mục

  1. Khởi động Notepad, sau đó dán tập lệnh mẫu sau vào tài liệu mới:

    param(    [ValidateScript({Test-Path $_})]
    [String] $Path
    )
    pushd $Path
    dir | foreach {
    remove-item $_ -force
    }
    certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
    New-Item -type File $matches[1] | out-null
    }
    }
    popd
  2. Lưu tài liệu mới Certs.ps1.

  3. Tạo một thư mục trong đó trống tệp tương ứng với số phát hành tất cả phải được lưu trữ.

  4. Chạy lệnh Certs.ps1. Để thực hiện việc này, hãy chạy lệnh sau trong Windows PowerShell:

    Certs.ps1 < vị trí thư mục đã tạo ở bước 3 >

  5. Kiểm tra thư mục mà bạn đã tạo ở bước 3 để đảm bảo rằng các tệp tương ứng với số sê-ri phát hành.

    Lưu ý Nếu bạn có nhiều CAs lưu trữ trong môi trường của bạn, đảm bảo rằng các thư mục tương ứng số khác nhau. Chia sẻ cùng một thư mục giữa CAs khác.

  6. Chạy tập lệnh trên máy tính CA rồi tải lên tệp đã lưu bằng cách cho nó ACLs hạn chế. Tệp không phải là có thể chỉnh sửa. Đảm bảo rằng tất cả các máy tính bộ đáp ứng trực tuyến Microsoft có thể truy cập vị trí này.

Thông tin về quy trình này

Bộ đáp ứng trực tuyến Microsoft trả lại giá trị không xác định cho tất cả các chứng chỉ được cung cấp nhưng chưa trong tệp được tạo trong bước 6. Kịch bản này phải được chạy một khoảng thời gian và làm mới cho bộ đáp ứng trực tuyến Microsoft cung cấp bản cập nhật trạng thái. Thiết lập khoảng thời gian này sẽ phụ thuộc vào môi trường cụ thể triển khai của bạn. Chúng tôi khuyên bạn chọn một khoảng thời gian phù hợp ở bất cứ đâu từ 4 giờ giá trị CRL sau ngày phát hành.

Bước 2: đăng ký

Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng bằng cách sử dụng Registry Editor hoặc bằng cách sử dụng phương pháp khác. Các sự cố này có thể yêu cầu bạn phải cài đặt hệ điều hành. Microsoft không thể đảm bảo rằng các vấn đề có thể giải quyết. Sửa đổi sổ đăng ký rủi ro của riêng bạn.

  1. Thoát khỏi tất cả các ứng dụng Windows.

  2. Bấm vào Bắt đầu, bấm vào Chạy, nhập regedit, sau đó bấm OK.

  3. Định vị và sau đó chọn khoá con đăng ký sau:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder

  4. Bấm vào cơ quan chứng nhận (CA) mà bạn đã tạo cấu trúc thư mục.

  5. Bấm chuột phải vào Nút nhà cung cấp, điểm đến mới, và sau đó bấm Giá trị đa chuỗi.

  6. Loại IssuedSerialNumbersDirectories, và sau đó nhấn Enter.

  7. Bấm chuột phải vào IssuedSerialNumbersDirectories, và sau đó bấm sửa đổi.

  8. Trong ô dữ liệu giá trị , nhập đường dẫn tới thư mục bạn đã tạo ở bước 3 của quy trình cấu trúc thư mục chứa số sê-ri phát hành, và sau đó bấm OK.

    Đường dẫn thư mục, sử dụng định dạng sau:


    \\<computername>\<directorylocation>Ví dụ: sử dụng đường dẫn giống như sau:


    \\contoso-ocspfileserver\SerialNumbers

  9. Trên menu tệp , bấm thoát để thoát khỏi Registry Editor.

  10. Cài đặt gói hotfix được đề cập trong bài viết này.

Sau khi bạn thực hiện "Cấu trúc thư mục" và "Đăng ký" bước, cài đặt gói hotfix được đề cập trong bài viết này.

Kết quả

Sau khi cài đặt hotfix, Dịch vụ trực tuyến bộ đáp ứng nên làm như sau:

  • Trả lại giá trị tốt nhất chứng chỉ được kiểm tra

  • Trả về giá trị REVOKED giấy chứng nhận được bao gồm trong CRL

  • Trả về giá trị không xác định cho tất cả các chứng chỉ không thể kiểm tra

Thông tin về cập nhật nóng

Một hotfix được hỗ trợ có sẵn từ Microsoft Support. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố được mô tả trong bài viết này. Cập nhật nóng này có thể được kiểm tra thêm. Vì vậy, nếu bạn không bị ảnh hưởng nghiêm trọng bởi sự cố này, chúng tôi khuyên bạn đợi bản cập nhật phần mềm tiếp theo có chứa cập nhật nóng này.

Nếu cập nhật nóng này sẵn có để tải xuống thì sẽ có phần "Cập nhật nóng có sẵn để tải xuống" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy liên hệ với Dịch vụ Khách hàng và Bộ phận Hỗ trợ của Microsoft để nhận được các cập nhật nóng.

Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy truy cập website sau của Microsoft:

http://support.microsoft.com/contactus/?ws=supportLưu ý Mẫu "Tải xuống cập nhật nóng sẵn có" hiển thị các ngôn ngữ mà cập nhật nóng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.

Điều kiện tiên quyết

Để áp dụng hotfix này, bạn phải có gói dịch vụ 1 cho Windows 7 hoặc Windows Server 2008 R2 cài đặt.

Yêu cầu khởi động lại

Bạn không phải khởi động lại máy tính sau khi bạn áp dụng hotfix này.

Thông tin thay thế cập nhật nóng

Hotfix này không thay thế bất kỳ hotfix nào phát hành trước đó.

Phiên bản tiếng Anh (Hoa Kỳ) của hotfix này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Phối hợp Quốc tế (UTC). Ngày và giờ của các tệp này trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ cũng có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.

Thông tin tệp Windows 7 và Windows Server 2008 R2 và ghi chúQuan trọng Windows 7 và cập nhật nóng Windows Server 2008 R2 được bao gồm trong cùng gói. Tuy nhiên, cập nhật nóng trên trang Yêu cầu Cập nhật nóng được liệt kê trong cả hai hệ điều hành. Để yêu cầu gói cập nhật nóng áp dụng cho một hoặc cả hai hệ điều hành, hãy chọn cập nhật nóng được liệt kê trong "Windows 7/Windows Server 2008 R2" trên trang. Luôn tham khảo phần "Áp dụng cho" trong bài viết để xác định hệ điều hành thực mà mỗi hotfix áp dụng.

  • Các tệp áp dụng cho một sản phẩm cụ thể, SR_Level (RTM, SPn), và chi nhánh dịch vụ (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau.

    Phiên bản

    Sản phẩm

    SR_Level

    Chi nhánh dịch vụ

    6.1.760
    1. 22xxx

    Windows 7 và Windows Server 2008 R2

    SP1

    LDR

  • Chi nhánh dịch vụ GDR chỉ chứa các bản vá lỗi được phát hành rộng rãi để phục các sự cố phổ biến, đặc biệt quan trọng. Ngoài các bản vá được phát hành rộng rãi, chi nhánh dịch vụ LDR còn chứa các cập nhật nóng.

  • Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường là liệt kê riêng trong phần "Thông tin dành cho Windows 7 và Windows Server 2008 R2 tệp bổ sung". MẸ, tập tin và bảo mật liên quan (.cat) danh mục tệp, đều rất quan trọng để duy trì trạng thái của cấu phần được Cập Nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.

Đối với tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7

Tên tệp

Phiên bản tệp

Kích thước tệp

Ngày

Giờ

Nền tảng

Yêu cầu SP

Chi nhánh dịch vụ

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Không có

Không áp dụng

Ocsprevp.dll

6.1.7601.22705

151,552

30-May-2014

07:35

x86

SPR

X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

Đối với tất cả phiên bản dựa trên x64 được hỗ trợ của Windows 7 và Windows Server 2008 R2

Tên tệp

Phiên bản tệp

Kích thước tệp

Ngày

Giờ

Nền tảng

Yêu cầu SP

Chi nhánh dịch vụ

Certadm.dll

6.1.7601.22705

419,840

30-May-2014

08:00

x64

Không có

Không áp dụng

Ocsprevp.dll

6.1.7601.22705

184,832

30-May-2014

08:00

x64

SPR

AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

Không có

Không áp dụng

Thông tin tệp bổ sung dành cho Windows 7 và Windows Server 2008 R2

Các tệp bổ sung cho tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7

Thuộc tính tệp

Giá trị

Tên tệp

X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

720

Ngày (UTC)

30-May-2014

Thời gian (UTC)

13:22

Nền tảng

Không áp dụng

Tên tệp

X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

719

Ngày (UTC)

30-May-2014

Thời gian (UTC)

13:22

Nền tảng

Không áp dụng

Tên tệp

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

63,628

Ngày (UTC)

30-May-2014

Thời gian (UTC)

07:59

Nền tảng

Không áp dụng

Tên tệp

X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

11,236

Ngày (UTC)

30-May-2014

Thời gian (UTC)

08:00

Nền tảng

Không áp dụng

Tệp bổ sung cho tất cả phiên bản x64 dựa trên Windows 7 và Windows Server 2008 R2

Thuộc tính tệp

Giá trị

Tên tệp

Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

723

Ngày (UTC)

30-May-2014

Thời gian (UTC)

13:22

Nền tảng

Không áp dụng

Tên tệp

Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

721

Ngày (UTC)

30-May-2014

Thời gian (UTC)

13:22

Nền tảng

Không áp dụng

Tên tệp

Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

724

Ngày (UTC)

30-May-2014

Thời gian (UTC)

13:22

Nền tảng

Không áp dụng

Tên tệp

Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

63,632

Ngày (UTC)

30-May-2014

Thời gian (UTC)

08:30

Nền tảng

Không áp dụng

Tên tệp

Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

11,240

Ngày (UTC)

30-May-2014

Thời gian (UTC)

08:30

Nền tảng

Không áp dụng

Tên tệp

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

Phiên bản tệp

Không áp dụng

Kích thước tệp

63,628

Ngày (UTC)

30-May-2014

Thời gian (UTC)

07:59

Nền tảng

Không áp dụng


Trạng thái

Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".

Thông tin

Hotfix này cung cấp một thay đổi thiết kế làm bộ đáp ứng OCSP Microsoft biết tất cả các chứng chỉ về sau là đúng:

  • Họ do CA.

  • Họ không bị thu hồi.

  • Các bước trong thời gian hiệu lực của họ.

Tham khảo

Tìm hiểu về thuật ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×