某些第三方在线证书状态协议 (OCSP) 客户端可能会拒绝 OSCP 响应的响应,如果此 OCSP 响应程序从 Windows Server 2008 证书颁发机构接收的响应签名证书

适用于: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

症状


请考虑以下情形:
  • 联机证书状态协议 (OCSP) 响应程序从 Windows Server 2008 证书颁发机构 (CA) 获取响应签名证书。
  • 某些第三方 OCSP 客户端使用此 OCSP 服务器验证的证书。
在这种情况下,这些 OCSP 客户端可能会拒绝来自 OCSP 响应程序的响应。当拒绝响应,对于一些第三方的 OCSP 客户端,如 Cisco 路由器发生函数失败。

原因


Windows Server 2008 CA 颁发 OCSP 响应程序为响应签名证书。此证书的 NoRevCheck 扩展名包含空值,而不是 ASN null 值。OCSP 响应程序使用此证书对从 OCSP 客户端的查询响应。

某些第三方 OCSP 客户端需要的扩展名为 NoRevCheck 的值是 ASN null 值。因此,这些第三方 OCSP 客户端拒绝 OCSP 响应程序的响应。

解决方案


修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

Windows Vista 和 Windows Server 2008 的重要修复程序包含在相同的程序包中。但是,这些产品中的只有一个可能"修补程序请求"页上列出。若要请求适用于 Windows Vista 和 Windows Server 2008 的修复程序包,只需选择页列出的产品。

系统必备组件

若要应用此修补程序,您必须使用证书服务的计算机上安装 Windows Server 2008。

重启要求

您必须在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替换任何其他以前发布的修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。

Windows Server 2008 文件信息说明

分别列出的清单文件 (.manifest) 和安装每个环境的菊花文件 (.mum) 了。菊花和清单文件和关联的安全目录 (.cat) 文件中,是重要的维护更新组件的状态。Microsoft 的数字签名与签名安全目录文件 (未列出的属性)。
对于所有受支持的 32 位版本的 Windows Server 2008
文件名称文件版本文件大小日期时间平台
Certpdef.dll6.0.6001.22317132,60825-Nov-200805:10x86
Certcli.dll6.0.6001.22317323,07225-Nov-200805:10x86
对于所有受支持的 64 位版本的 Windows Server 2008
文件名称文件版本文件大小日期时间平台
Certpdef.dll6.0.6001.22317170,49625-Nov-200805:50x64
Certcli.dll6.0.6001.22317444,41625-Nov-200805:50x64
Certcli.dll6.0.6001.22317323,07225-Nov-200805:10x86

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


Microsoft 联机响应程序服务便可以配置和管理的有效性和吊销基于 Windows 的网络中的 OCSP 支票。联机响应程序管理单元中可以吊销配置和联机响应程序数组支持在各种环境中的公钥基础结构 (PKI) 的客户端配置和管理。


有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明
本文讨论的第三方产品是由与 Microsoft 无关的公司生产的。Microsoft 不做这些产品的任何担保、默示或其他有关的性能或可靠性。

Windows Server 2008 的附加文件信息

对于所有其他文件支持 32 位版本的 Windows Server 2008
文件名称文件版本文件大小日期时间平台
Package_for_kb960549_client_1~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,84825-Nov-200821:23不适用
Package_for_kb960549_client~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,43125-Nov-200821:23不适用
Package_for_kb960549_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,42225-Nov-200821:23不适用
Package_for_kb960549_sc~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,42325-Nov-200821:23不适用
Package_for_kb960549_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum不适用2,11725-Nov-200821:23不适用
Package_for_kb960549_server~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,43125-Nov-200821:23不适用
Package_for_kb960549_winpesrv_0~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,42225-Nov-200821:23不适用
Package_for_kb960549_winpesrv~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,43025-Nov-200821:23不适用
X86_microsoft-windows-c..ervices-ca-certpdef_31bf3856ad364e35_6.0.6001.22317_none_bdc5b28a0ea37c86.manifest不适用32,92425-Nov-200806:38不适用
X86_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_d803882d55c6ef90.manifest不适用62,02825-Nov-200806:39不适用
对于所有其他文件支持 64 位版本的 Windows Server 2008
文件名称文件版本文件大小日期时间平台
Amd64_microsoft-windows-c..ervices-ca-certpdef_31bf3856ad364e35_6.0.6001.22317_none_19e44e0dc700edbc.manifest不适用32,96025-Nov-200807:13不适用
Amd64_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_342223b10e2460c6.manifest不适用61,71525-Nov-200807:15不适用
Package_for_kb960549_client_1~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,86025-Nov-200821:23不适用
Package_for_kb960549_client~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43925-Nov-200821:23不适用
Package_for_kb960549_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43025-Nov-200821:23不适用
Package_for_kb960549_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43125-Nov-200821:23不适用
Package_for_kb960549_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用2,13125-Nov-200821:23不适用
Package_for_kb960549_server~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43925-Nov-200821:23不适用
Package_for_kb960549_winpesrv_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43025-Nov-200821:23不适用
Package_for_kb960549_winpesrv~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43825-Nov-200821:23不适用
X86_microsoft-windows-c..tionauthorityclient_31bf3856ad364e35_6.0.6001.22317_none_d803882d55c6ef90.manifest不适用62,02825-Nov-200806:39不适用