Triệu chứng
Trong Windows Server 2008, bạn muốn quản lý chứng chỉ đơn giản đăng ký chứng chỉ giao thức (SCEP) bằng cách sử dụng mạng điện thoại đăng ký dịch vụ (NDE). NDE được cài đặt như một phần của dịch vụ chứng chỉ trong Windows Server 2008. Trong trường hợp này, bạn gặp sự cố sau:
Vấn đề 1
Mật khẩu không thể được tái sử dụng trong thiết bị.
Dựa trên giao thức SCEP, thiết bị được yêu cầu gửi mật khẩu khi nó yêu cầu chứng chỉ máy chủ SCEP cho lần đầu tiên. Sự cố máy chủ SCEP chứng chỉ sau khi xác nhận mật khẩu.
Quá trình mà máy chủ SCEP vấn đề chứng chỉ sau khi xác nhận mật khẩu như sau:
-
Quản trị viên đăng nhập vào trang Web quản trị SCEP và yêu cầu mật khẩu.
-
Máy chủ SCEP tạo mật khẩu ngẫu nhiên, lưu trữ trong bộ nhớ cache, và sau đó sẽ hiển thị mật khẩu quản trị viên.
-
Quản trị viên cấu hình mật khẩu trên thiết bị.
-
Thiết bị gửi mật khẩu này trong yêu cầu chứng chỉ ban đầu.
Lưu ý Mật khẩu hết hạn trong 60 phút. -
Máy chủ chứng chỉ các vấn đề và sau đó loại bỏ mật khẩu khỏi bộ đệm ẩn. Mật khẩu không còn có thể sử dụng bất kỳ thiết bị nào khác.
Vấn đề 2
Chứng chỉ SCEP không thể ghi danh lại tự động sau khi hết hạn.
Vì hai vấn đề này, có thể mất quản trị viên nhiều thời gian để yêu cầu mật khẩu cho tất cả các thiết bị và áp dụng chứng chỉ SCEP cho họ.
Giải pháp
Để khắc phục hai vấn đề này, cài đặt hotfix 959193. Hotfix này giới thiệu hai cải tiến sau:
Cải thiện 1
Sau khi bạn áp dụng hotfix này, mật khẩu có thể được tái sử dụng trong thiết bị. Trình quản lý mật khẩu mới là như sau:
-
Máy chủ SCEP xác nhận cài đặt đăng ký chế độ "Một mật khẩu". Trong chế độ này, một mật khẩu được tạo ra và lưu trữ trong sổ đăng ký bằng cách sử dụng mã hóa dữ liệu. Mật khẩu không bao giờ hết hạn.
-
Quản trị viên đăng nhập vào một trang Web quản trị SCEP và yêu cầu mật khẩu. Mật khẩu được cung cấp.
-
Quản trị viên cấu hình mật khẩu trên thiết bị. Vì mật khẩu giống nhau cho tất cả các thiết bị vì nó không bao giờ hết hạn, quản trị viên có thể dễ dàng viết tập lệnh triển khai mật khẩu trên tất cả các thiết bị.
Làm thế nào để kích hoạt cải thiện 1
Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, sự cố nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không đúng. Vì vậy, hãy đảm bảo bạn làm theo các bước sau đây một cách cẩn thận. Để bảo vệ tốt hơn, sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
322756 cách sao lưu và khôi phục sổ đăng ký trong Windows
Để bật tính năng này, hãy tạo mục đăng ký sau:Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1
Lưu ý Nếu bạn đang chạy NDE trong tài khoản Dịch vụ mạng, bạn phải cho phép toàn quyền kiểm soát tài khoản "Dịch vụ mạng" trong khoá con đăng ký sau: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP.
Cải thiện 2
Chứng chỉ có thể được ghi danh lại tự động sau khi hết hạn. Tính năng này được kích hoạt tự động sau khi cài đặt hotfix.
Theo mặc định, khi bạn yêu cầu gia hạn chứng chỉ bằng cách sử dụng tính năng này, người ký chứng chỉ phải tên chủ đề và tên chủ đề khác như chứng chỉ được yêu cầu. Để phá vỡ yêu cầu này, đặt giá trị của mục đăng ký DisableRenewalSubjectNameMatch con sau thành 1.
HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch
Lưu ý Bạn có thể phải tạo mục đăng ký này bằng cách sử dụng loại REG_DWORD nếu mục đăng ký không tồn tại.
Thông tin về cập nhật nóng
Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố được mô tả trong bài viết này. Cập nhật nóng này có thể được kiểm tra thêm. Vì vậy, nếu bạn không bị ảnh hưởng nghiêm trọng bởi sự cố này, chúng tôi khuyên bạn đợi bản cập nhật phần mềm tiếp theo có chứa cập nhật nóng này.
Nếu cập nhật nóng này sẵn có để tải xuống thì sẽ có phần "Cập nhật nóng có sẵn để tải xuống" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy liên hệ với Dịch vụ Khách hàng và Bộ phận Hỗ trợ của Microsoft để nhận được các cập nhật nóng.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy ghé thăm Trang web sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý Mẫu "Tải xuống cập nhật nóng sẵn có" hiển thị các ngôn ngữ mà cập nhật nóng này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.
Quan trọng hotfix Windows Vista và Windows Server 2008 được bao gồm trong cùng gói. Tuy nhiên, chỉ có một trong các sản phẩm có thể được liệt kê trên trang "Yêu cầu Hotfix". Để yêu cầu gói hotfix áp dụng cho Windows Vista và Windows Server 2008, chỉ cần chọn sản phẩm được liệt kê trên trang.
Điều kiện tiên quyết
Không có điều kiện tiên quyết nào.
Yêu cầu khởi động lại
Bạn phải khởi động lại máy tính sau khi bạn áp dụng hotfix này.
Thông tin thay thế cập nhật nóng
Hotfix này không thay thế bất kỳ hotfix phát hành trước đó.
Thông tin về tệp
Phiên bản tiếng Anh của cập nhật nóng này có các thuộc tính tệp (hoặc thuộc tính tệp mới hơn) được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Quốc tế Phối hợp (UTC). Khi bạn xem thông tin về tệp, ngày và giờ được chuyển đổi thành giờ địa phương. Để tìm sự khác nhau giữa UTC và giờ địa phương, sử dụng tab Múi Giờ trong mục Ngày và Giờ trong Pa-nen điều khiển.
Ghi chú thông tin tệp Windows Server 2008
Tệp .manifest và tệp .mum được cài đặt trong từng môi trường là liệt kê riêng trong phần "thông tin tệp bổ sung dành cho Windows Server 2008". Các tệp và các tệp liên quan .cat (danh mục phân loại bảo mật) đều rất quan trọng để duy trì trạng thái của cấu phần được Cập Nhật. Tệp .cat được ký bằng chữ ký số Microsoft. Thuộc tính của những tệp bảo mật không được liệt kê.
Đối với tất cả phiên bản x86 dựa trên Windows Server 2008
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
139,776 |
17-Jan-2009 |
04:50 |
x86 |
Dành cho tất cả phiên bản dựa trên x64 được hỗ trợ của Windows Server 2008
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Mscep.dll |
6.0.6001.22356 |
157,184 |
17-Jan-2009 |
06:25 |
x64 |
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Để biết thêm thông tin về SCEP, truy cập Internet thảo Web site (IETF) Web site sau:
http://www.ietf.org/proceedings/69/slides/pkix-3.pdf
Lưu ý tài liệu này sẽ hết hạn vào ngày 25 tháng 12 năm 2009. Thông tin sau ngày này, tìm kiếm "SCEP" trên trang chủ của trang Web.
Microsoft cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo trước. Microsoft không bảo đảm độ chính xác của thông tin liên hệ của bên thứ ba này.
Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
824684 mô tả thuật ngữ chuẩn được sử dụng để miêu tả các bản cập nhật phần mềm Microsoft
Thông tin tệp bổ sung dành cho Windows Server 2008
Đối với tất cả phiên bản x86 dựa trên Windows Server 2008
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Không áp dụng |
13,172 |
18-Jan-2009 |
01:10 |
Không áp dụng |
|
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum |
Không áp dụng |
1.423 |
18-Jan-2009 |
01:10 |
Không áp dụng |
|
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum |
Không áp dụng |
13,647 |
18-Jan-2009 |
01:10 |
Không áp dụng |
|
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum |
Không áp dụng |
1,431 |
18-Jan-2009 |
01:10 |
Không áp dụng |
|
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest |
Không áp dụng |
43,475 |
17-Jan-2009 |
07:10 |
Không áp dụng |
Dành cho tất cả phiên bản dựa trên x64 được hỗ trợ của Windows Server 2008
|
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
|---|---|---|---|---|---|
|
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest |
Không áp dụng |
43,505 |
17-Jan-2009 |
09:42 |
Không áp dụng |
|
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Không áp dụng |
13,284 |
18-Jan-2009 |
01:10 |
Không áp dụng |
|
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Không áp dụng |
1,431 |
18-Jan-2009 |
01:10 |
Không áp dụng |
|
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Không áp dụng |
13,763 |
18-Jan-2009 |
01:10 |
Không áp dụng |
|
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum |
Không áp dụng |
1,439 |
18-Jan-2009 |
01:10 |
Không áp dụng |
