Triệu chứng
Xem xét tình huống sau:
-
Bạn có các dịch vụ Microsoft Online bộ đáp ứng được cài đặt trên máy chủ đang chạy Windows Server 2008 R2 hoặc Windows Server 2012 R2.
-
Máy chủ được sử dụng để cấu hình và quản lý các Giao thức trạng thái chứng chỉ trực tuyến (OCSP) xác nhận.
Trong trường hợp này, Dịch vụ trực tuyến bộ đáp ứng trả về giá trị xác định tốt cho tất cả các chứng chỉ không có trong danh sách thu hồi chứng chỉ (CRL).
Nguyên nhân
Sự cố này xảy ra do OCSP xác minh nguồn xác nhận chứng chỉ thực sự được cung cấp bởi các nhà chức trách chứng chỉ tương ứng. Thay vào đó, nếu chứng chỉ không được bao gồm trong CRL, Dịch vụ trực tuyến bộ đáp ứng nhận chứng chỉ hợp lệ và trả lại giá trị tốt.
Giải pháp
Để khắc phục sự cố này trong Windows 8.1 hoặc Windows Server 2012 R2, cài đặt bản Cập Nhật 2967917. Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
2967917 tháng 4 năm 2014 bản Cập Nhật cho Windows RT 8.1, Windows 8.1 và Windows Server 2012 R2
Để khắc phục sự cố này trong Windows 7 hoặc Windows Server 2008 R2, cài đặt hotfix được mô tả trong phần "Thông tin Hotfix" trong bài viết này.
Trước khi cài đặt hotfix này, bạn phải cấu hình dịch vụ OCSP đọc số được cung cấp bởi nhà chức trách chứng chỉ. Để thực hiện việc này, hãy làm theo các bước trong phần này để tạo một vị trí thư mục nơi lưu tệp số và tạo khoá đăng ký trỏ đến thư mục này.
Lưu ý:
-
Thư mục có thể được nằm trên mạng chia sẻ hoặc lưu trữ trên máy tính cục bộ. Nếu bạn thiết lập cấu hình mảng, chúng tôi khuyên bạn lưu trữ thư mục chia sẻ mạng để tất cả các thành viên mảng có thể đã "đọc" truy cập vào nó.
-
Bất kể mục nằm ở đâu, đảm bảo rằng dịch vụ OCSP có quyền đọc cho thư mục. Cài đặt đăng ký sẽ không áp dụng cho bất kỳ ứng trực tuyến Microsoft không vá hotfix này.
Cấu hình dịch vụ OCSP
Chạy các bước sau trên máy tính chứng chỉ mà bạn đã cấu hình dịch vụ OCSP.
Bước 1: Cấu trúc thư mục
-
Khởi động Notepad, sau đó dán tập lệnh mẫu sau vào tài liệu mới:
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
Lưu tài liệu mới Certs.ps1.
-
Tạo một thư mục trong đó trống tệp tương ứng với số phát hành tất cả phải được lưu trữ.
-
Chạy lệnh Certs.ps1. Để thực hiện việc này, hãy chạy lệnh sau trong Windows PowerShell:
Certs.ps1 < vị trí thư mục đã tạo ở bước 3 >
-
Kiểm tra thư mục mà bạn đã tạo ở bước 3 để đảm bảo rằng các tệp tương ứng với số sê-ri phát hành.
Lưu ý Nếu bạn có nhiều CAs lưu trữ trong môi trường của bạn, đảm bảo rằng các thư mục tương ứng số khác nhau. Chia sẻ cùng một thư mục giữa CAs khác. -
Chạy tập lệnh trên máy tính CA rồi tải lên tệp đã lưu bằng cách cho nó ACLs hạn chế. Tệp không phải là có thể chỉnh sửa. Đảm bảo rằng tất cả các máy tính bộ đáp ứng trực tuyến Microsoft có thể truy cập vị trí này.
Thông tin về quy trình này
Bộ đáp ứng trực tuyến Microsoft trả lại giá trị không xác định cho tất cả các chứng chỉ được cung cấp nhưng chưa trong tệp được tạo trong bước 6. Kịch bản này phải được chạy một khoảng thời gian và làm mới cho bộ đáp ứng trực tuyến Microsoft cung cấp bản cập nhật trạng thái. Thiết lập khoảng thời gian này sẽ phụ thuộc vào môi trường cụ thể triển khai của bạn. Chúng tôi khuyên bạn chọn một khoảng thời gian phù hợp ở bất cứ đâu từ 4 giờ giá trị CRL sau ngày phát hành.
Bước 2: đăng ký
Cảnh báo Vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng bằng cách sử dụng Registry Editor hoặc bằng cách sử dụng phương pháp khác. Các sự cố này có thể yêu cầu bạn phải cài đặt hệ điều hành. Microsoft không thể đảm bảo rằng các vấn đề có thể giải quyết. Sửa đổi sổ đăng ký rủi ro của riêng bạn.
-
Thoát khỏi tất cả các ứng dụng Windows.
-
Bấm vào Bắt đầu, bấm vào Chạy, nhập regedit, sau đó bấm OK.
-
Định vị và sau đó chọn khoá con đăng ký sau:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
Bấm vào cơ quan chứng nhận (CA) mà bạn đã tạo cấu trúc thư mục.
-
Bấm chuột phải vào Nút nhà cung cấp, điểm đến mới, và sau đó bấm Giá trị đa chuỗi.
-
Loại IssuedSerialNumbersDirectories, và sau đó nhấn Enter.
-
Bấm chuột phải vào IssuedSerialNumbersDirectories, và sau đó bấm sửa đổi.
-
Trong ô dữ liệu giá trị , nhập đường dẫn tới thư mục bạn đã tạo ở bước 3 của quy trình cấu trúc thư mục chứa số sê-ri phát hành, và sau đó bấm OK.
Đường dẫn thư mục, sử dụng định dạng sau:\\<computername>\<directorylocation>Ví dụ: sử dụng đường dẫn giống như sau:
\\contoso-ocspfileserver\SerialNumbers
-
Trên menu tệp , bấm thoát để thoát khỏi Registry Editor.
-
Cài đặt gói hotfix được đề cập trong bài viết này.
Sau khi bạn thực hiện "Cấu trúc thư mục" và "Đăng ký" bước, cài đặt gói hotfix được đề cập trong bài viết này.
Kết quả
Sau khi cài đặt hotfix, Dịch vụ trực tuyến bộ đáp ứng nên làm như sau:
-
Trả lại giá trị tốt nhất chứng chỉ được kiểm tra
-
Trả về giá trị REVOKED giấy chứng nhận được bao gồm trong CRL
-
Trả về giá trị không xác định cho tất cả các chứng chỉ không thể kiểm tra
Thông tin về cập nhật nóng
Một hotfix được hỗ trợ có sẵn từ Microsoft Support. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố được mô tả trong bài viết này. Cập nhật nóng này có thể được kiểm tra thêm. Vì vậy, nếu bạn không bị ảnh hưởng nghiêm trọng bởi sự cố này, chúng tôi khuyên bạn đợi bản cập nhật phần mềm tiếp theo có chứa cập nhật nóng này.
Nếu cập nhật nóng này sẵn có để tải xuống thì sẽ có phần "Cập nhật nóng có sẵn để tải xuống" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy liên hệ với Dịch vụ Khách hàng và Bộ phận Hỗ trợ của Microsoft để nhận được các cập nhật nóng.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy truy cập website sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý Mẫu "Tải xuống cập nhật nóng sẵn có" hiển thị các ngôn ngữ mà cập nhật nóng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.
Điều kiện tiên quyết
Để áp dụng hotfix này, bạn phải có gói dịch vụ 1 cho Windows 7 hoặc Windows Server 2008 R2 cài đặt.
Yêu cầu khởi động lại
Bạn không phải khởi động lại máy tính sau khi bạn áp dụng hotfix này.
Thông tin thay thế cập nhật nóng
Hotfix này không thay thế bất kỳ hotfix nào phát hành trước đó.
Phiên bản tiếng Anh (Hoa Kỳ) của hotfix này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Phối hợp Quốc tế (UTC). Ngày và giờ của các tệp này trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ cũng có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.
Thông tin tệp Windows 7 và Windows Server 2008 R2 và ghi chúQuan trọng Windows 7 và cập nhật nóng Windows Server 2008 R2 được bao gồm trong cùng gói. Tuy nhiên, cập nhật nóng trên trang Yêu cầu Cập nhật nóng được liệt kê trong cả hai hệ điều hành. Để yêu cầu gói cập nhật nóng áp dụng cho một hoặc cả hai hệ điều hành, hãy chọn cập nhật nóng được liệt kê trong "Windows 7/Windows Server 2008 R2" trên trang. Luôn tham khảo phần "Áp dụng cho" trong bài viết để xác định hệ điều hành thực mà mỗi hotfix áp dụng.
-
Các tệp áp dụng cho một sản phẩm cụ thể, SR_Level (RTM, SPn), và chi nhánh dịch vụ (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau.
Phiên bản
Sản phẩm
SR_Level
Chi nhánh dịch vụ
6.1.760
1. 22xxxWindows 7 và Windows Server 2008 R2
SP1
LDR
-
Chi nhánh dịch vụ GDR chỉ chứa các bản vá lỗi được phát hành rộng rãi để phục các sự cố phổ biến, đặc biệt quan trọng. Ngoài các bản vá được phát hành rộng rãi, chi nhánh dịch vụ LDR còn chứa các cập nhật nóng.
-
Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường là liệt kê riêng trong phần "Thông tin dành cho Windows 7 và Windows Server 2008 R2 tệp bổ sung". MẸ, tập tin và bảo mật liên quan (.cat) danh mục tệp, đều rất quan trọng để duy trì trạng thái của cấu phần được Cập Nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
Đối với tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
Yêu cầu SP |
Chi nhánh dịch vụ |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Không có |
Không áp dụng |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Đối với tất cả phiên bản dựa trên x64 được hỗ trợ của Windows 7 và Windows Server 2008 R2
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
Yêu cầu SP |
Chi nhánh dịch vụ |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
Không có |
Không áp dụng |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
Không có |
Không áp dụng |
Thông tin tệp bổ sung dành cho Windows 7 và Windows Server 2008 R2
Các tệp bổ sung cho tất cả phiên bản dựa trên x86 được hỗ trợ của Windows 7
Thuộc tính tệp |
Giá trị |
---|---|
Tên tệp |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
720 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
13:22 |
Nền tảng |
Không áp dụng |
Tên tệp |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
719 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
13:22 |
Nền tảng |
Không áp dụng |
Tên tệp |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
63,628 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
07:59 |
Nền tảng |
Không áp dụng |
Tên tệp |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
11,236 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
08:00 |
Nền tảng |
Không áp dụng |
Tệp bổ sung cho tất cả phiên bản x64 dựa trên Windows 7 và Windows Server 2008 R2
Thuộc tính tệp |
Giá trị |
---|---|
Tên tệp |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
723 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
13:22 |
Nền tảng |
Không áp dụng |
Tên tệp |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
721 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
13:22 |
Nền tảng |
Không áp dụng |
Tên tệp |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
724 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
13:22 |
Nền tảng |
Không áp dụng |
Tên tệp |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
63,632 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
08:30 |
Nền tảng |
Không áp dụng |
Tên tệp |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
11,240 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
08:30 |
Nền tảng |
Không áp dụng |
Tên tệp |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
Phiên bản tệp |
Không áp dụng |
Kích thước tệp |
63,628 |
Ngày (UTC) |
30-May-2014 |
Thời gian (UTC) |
07:59 |
Nền tảng |
Không áp dụng |
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Hotfix này cung cấp một thay đổi thiết kế làm bộ đáp ứng OCSP Microsoft biết tất cả các chứng chỉ về sau là đúng:
-
Họ do CA.
-
Họ không bị thu hồi.
-
Các bước trong thời gian hiệu lực của họ.
Tham khảo
Tìm hiểu về thuật ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.