Windows 服务器 2008年联机证书状态协议 (OCSP) 响应程序并不适用于不使用 SHA1 算法的签名证书

适用于: Windows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise without Hyper-VWindows Server 2008 Standard without Hyper-V

症状


请考虑以下情形:
  • 在基于 Windows Server 2008 的计算机上启用了联机证书状态协议 (OCSP) 响应。

    注意:若要启用 OCSP 响应程序,必须在计算机上添加 Active Directory 证书服务角色。
  • OCSP 响应程序使用手动分配的 OCSP 签名的证书。
在这种情况下,不处理 OCSP 吊销。此外,您收到以下错误消息:
签名证书︰ 错误 HRESULT E_FAIL 返回对 COM 组件的调用。
发生此问题时,应用程序日志中记录类似于以下内容的事件︰

原因


OCSP 是硬编码的安全哈希算法 1 (SHA1) 算法用于签名验证。如果手动分配的证书不使用 SHA1 算法,将出现此问题。

解决方案


修补程序是可用于解决此问题。此修补程序解决了此限制,使得 OCSP 未绑定到签名证书的 SHA1。

修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

Windows Vista 和 Windows Server 2008 的重要修复程序包含在相同的程序包中。但是,这些产品中的只有一个可能"修补程序请求"页上列出。若要请求适用于 Windows Vista 和 Windows Server 2008 的修复程序包,只需选择页列出的产品。

系统必备组件

若要应用此修补程序,您必须安装 Windows Server 2008。

重启要求

应用此修补程序后,必须重新启动联机响应程序服务 (Ocspsvc.exe)。

修补程序替换信息


此修补程序不替换任何其他以前发布的修补程序。

注册表信息


若要使用此修补程序,您不必对注册表进行任何更改。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。

Windows Server 2008 的注意

清单文件 (.manifest) 和菊花安装的文件 (.mum) 为每个环境都是
分别列出
.菊花和清单文件和关联的安全目录 (.cat) 文件,对维护更新组件的状态至关重要。Microsoft 的数字签名与签名安全目录文件 (未列出的属性)。
对于所有受支持的基于 x86 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台服务分支
Ocspsvc.exe6.0.6001.22325196,09609-Dec-200804:28x86X86_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.h不适用1,56918-Dec-200721:29不适用X86_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.ini不适用2,91818-Dec-200721:29不适用X86_MICROSOFT-WINDOWS-OCSP
对于所有受支持的基于 x64 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台服务分支
Ocspsvc.exe6.0.6001.22325248,32009-Dec-200804:59x64AMD64_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.h不适用1,56918-Dec-200721:29不适用AMD64_MICROSOFT-WINDOWS-OCSP
Ocspsvcctrs.ini不适用2,91818-Dec-200721:29不适用AMD64_MICROSOFT-WINDOWS-OCSP

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

用于描述 Microsoft 软件更新的标准术语的824684说明

Windows Server 2008 的附加文件信息

对于所有其他文件支持的基于 x86 的 Windows Server 2008 的版本
文件名称文件版本文件大小日期时间平台
Package_for_kb960809_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,40909-Dec-200823:11不适用
Package_for_kb960809_server~31bf3856ad364e35~x86~~6.0.1.0.mum不适用1,43009-Dec-200823:11不适用
X86_microsoft-windows-ocspsvc_31bf3856ad364e35_6.0.6001.22325_none_ddba509b7c8010ea.manifest不适用51,64409-Dec-200804:57不适用
所有支持基于 x64 版本的 Windows Server 2008 的其他文件
文件名称文件版本文件大小日期时间平台
Amd64_microsoft-windows-ocspsvc_31bf3856ad364e35_6.0.6001.22325_none_39d8ec1f34dd8220.manifest不适用51,68209-Dec-200805:46不适用
Package_for_kb960809_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,41709-Dec-200823:11不适用
Package_for_kb960809_server~31bf3856ad364e35~amd64~~6.0.1.0.mum不适用1,43809-Dec-200823:11不适用