你目前正处于脱机状态,正在等待 Internet 重新连接

CryptoAPI 证书链验证逻辑,在 Windows XP Service Pack 2 中更改的摘要

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 887196
概要
本文介绍了对 CryptoAPI 证书链验证逻辑,在 Microsoft Windows XP Service Pack 2 (SP2) 中所做的更改。
更多信息
CryptoAPI 证书而不是 Wininet.dll 进程所使用的 Windows XP SP2 之前的版本中的网络检索使用 Winhttp.dll 过程。因此,Windows XP SP2 表现出以下新功能:
  • 不再支持 HTTPS 统一资源定位器 (url) 将作为分发点的引用。

    注意HTTPS url 可能会生成递归吊销循环。
  • 不再支持文件传输协议 (FTP) url。
  • Microsoft 加密 API (CAPI) 支持仅通过 JavaScript 基于脚本的自动代理配置。

    注意基于 JavaScript 的脚本包括那些具有.js、.pac、.jvs 和.dat 扩展名。
  • CryptoAPI 证书不再使用 Microsoft Internet Explorer 高速缓存 (Wininet.dll)。而是,它维护一个单独的磁盘高速缓存在以下位置:
    C:\Documents 和 Settings\ user name \Application Data\Microsoft\CryptnetUrlCache
  • 在某些程序中不要使用 Windows 集成身份验证的代理服务器的身份验证可能会失败。因为 Winhttp.dll 过程设计用于通过非交互式服务,而且不提示用户使用网络的凭据,则会发生此问题。
  • 已进行了更改默认网络超时值。第一次进行这些更改了解决该问题的 CAPI 加密阻止在证书吊销列表 (CRL) 检索过程中的长期目标 URL 时无法访问。新的默认超时值是每次检索和链验证的 20 秒的 15 秒。
  • CryptoAPI 在处理颁发机构信息访问 (AIA) 扩展的证书时它处理每个证书只 5 url 或证书链每 10 个 url 的最大的值。CryptoAPI 还限制每个为 100,000 个字节的证书链中检索的数据。这些限制是为减少潜在的拒绝服务攻击的 AIA 引用使用而设计的。
  • 现在解决其中 CryptoAPI 在证书颁发机构 (CA) 有两个证书时可能会选择吊销的证书,而不是一个活动的证书的问题。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    841641安装 ms04-011 原因 Wininet 代理设置后,IIS 会返回一条"403.13 客户端证书吊销"的错误消息
    329433如果证书颁发机构链中的有两个证书已吊销的证书处于选中状态

警告:本文已自动翻译

属性

文章 ID:887196 - 上次审阅时间:12/01/2007 02:22:16 - 修订版本: 1.2

Microsoft Windows XP Home Edition, Microsoft Windows XP Professional Edition, Microsoft Windows XP Professional x64 Edition

  • kbmt kbhowto kbinfo KB887196 KbMtzh
反馈