两种改进都可用,请在 Windows Server 2008 中使用网络设备注册服务管理 SCEP 证书所需的时间缩短

适用于: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

症状


在 Windows Server 2008 中,想要通过使用网络设备注册服务 (NDES) 来管理简单证书注册协议 (SCEP) 证书。NDES 已安装作为 Windows Server 2008 中的证书服务的一部分。在这种情况下,您会遇到以下问题︰

问题 1

设备间不能重复使用密码。

根据 SCEP 协议,设备需要发送的密码,当第一次从 SCEP 服务器请求一个证书。SCEP 服务器验证密码后颁发证书。

依据 SCEP 服务器颁发证书的过程验证密码之后情况如下︰
  1. 管理员登录到 SCEP 管理 Web 站点,并要求输入密码。
  2. SCEP 服务器生成一个随机密码,将其存储在缓存中,然后显示给管理员的密码。
  3. 管理员在设备上配置密码。
  4. 在其初始请求的证书中,设备会发送此密码。

    注意:此密码过期 60 分钟。
  5. 服务器颁发证书,然后从缓存中删除该密码。任何其它设备可以不再使用该密码。
问题 2

SCEP 证书过期后无法自动重新注册。

由于这两个问题,可能需要管理员很长时间的所有设备,并对它们应用 SCEP 证书请求密码。

解决方案


若要解决这两个问题,请安装修补程序 959193。此修补程序引入了以下两个改进︰

改进 1

应用此修补程序后,可以在设备之间重复使用密码。管理密码的新流程是,如下所示︰
  1. SCEP 服务器确认"密码单"模式下的注册表设置。在此模式下,主密码创建并存储在注册表中通过使用加密的数据。主密码永不过期。
  2. 管理员登录到 SCEP 管理 Web 站点,并要求输入密码。主密码将被传递。
  3. 管理员在设备上配置密码。因为密码是相同的所有设备,因为它永远不会过期,管理员可以轻松地编写一个脚本来部署上所有设备的密码。
如何启用改进 1

重要:此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是,如果不正确地修改了注册表,可能会出现严重的问题。因此,请确保仔细按照下列步骤操作。为增加保护,对其进行修改之前备份注册表。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表

若要启用此功能,请创建以下注册表项︰
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

注意:如果您在网络服务帐户下运行 NDES,您必须授予以下注册表子项下的"网络服务"帐户的完全控制权限︰ HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP

改进 2

证书可以是 re-enrolled 自动过期。在安装此修复程序后,将自动启用此功能。

默认情况下,通过使用此功能,请求证书续订时签名者证书必须具有相同的主题名称和备用使用者名称为所申请的证书。绕过这一要求,请在以下注册表子项下的DisableRenewalSubjectNameMatch注册表项的值设置为 1。

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

注意:您可能需要创建此注册表项,如果注册表项不存在,则使用 REG_DWORD 类型。

修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

Windows Vista 和 Windows Server 2008 的重要修复程序包含在相同的程序包中。但是,这些产品中的只有一个可能"修补程序请求"页上列出。若要请求适用于 Windows Vista 和 Windows Server 2008 的修复程序包,只需选择页列出的产品。

系统必备组件

没有任何前提条件。

重启要求

您必须在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替换任何其他以前发布的修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。
Windows Server 2008 文件信息说明
.Manifest 文件和每个环境中安装的.mum 文件是单独列出"Windows server 2008 的其它文件信息"部分中。这些文件及其关联的.cat (安全目录) 文件将更新组件的状态维护的关键。Microsoft 的数字签名与对.cat 文件进行签名。这些安全文件的属性没有列出。

对于所有受支持的基于 x86 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
对于所有受支持的基于 x64 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


SCEP 有关详细信息,请访问下面的 Internet 草稿 Web 站点 (IETF) Web 站点︰

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

请注意,本文档将于 2009 年 7 月 25 日到期。在此日期之后的信息,搜索"SCEP"网站的主页上。

Microsoft 提供的第三方联系人信息,以帮助您查找技术支持。此联系信息如有更改,恕不另行通知。Microsoft 不能保证第三方联系信息的准确性。


有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

用于描述 Microsoft 软件更新的标准术语的824684说明


Windows Server 2008 的附加文件信息

对于所有受支持的基于 x86 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum不适用13,17218-Jan-200901:10不适用
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,42318-Jan-200901:10不适用
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum不适用13,64718-Jan-200901:10不适用
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,43118-Jan-200901:10不适用
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest不适用43,47517-Jan-200907:10不适用
对于所有受支持的基于 x64 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest不适用43,50517-Jan-200909:42不适用
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用13,28418-Jan-200901:10不适用
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43118-Jan-200901:10不适用
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用13,76318-Jan-200901:10不适用
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43918-Jan-200901:10不适用