基于 Windows Server 2003 的企业 CA 颁发具有不正确的替换主题名称的证书和证书不是网络访问保护 (NAP) 兼容

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 943089
注意
这篇 Microsoft 知识库文章中描述的修补程序由 KB961515 在修补程序取代。有关 KB961515 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
961515由基于 Windows Server 2003 的服务器颁发的计算机证书的使用者名称设置为用户主要名称 (UPN) 的计算机帐户应用修补程序 943089 后
本文已归档。它按“原样”提供,并且不再更新。
症状
请考虑以下情形:
  • 一台基于 Windows Server 2003 的计算机承载企业证书颁发机构 (CA)。
  • 企业 CA 使用自定义的证书模板颁发证书。
  • 证书模板配置为在另一个使用者名称中包含用户主体名称 (UPN) 或 $ 服务主体名称 (SPN)。
在这种情况下使用自定义的证书模板颁发的所有证书都有不正确的替换主题名称。替换主题名称是域名系统 (DNS) 名称而不是一个 UPN 或 SPN。

此问题而使企业 CA 颁发网络访问保护 (NAP)-兼容计算机证书。
解决方案
要解决此问题,应用修补程序 961515。有关修补程序 961515 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
961515由基于 Windows Server 2003 的服务器颁发的计算机证书的使用者名称设置为用户主要名称 (UPN) 的计算机帐户应用修补程序 943089 后

修补程序信息

系统必备组件

若要将此修补程序必须具有 Windows Server 2003 Service Pack 1 或 Windows Server 2003 Service Pack 2 计算机上安装。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
889100如何获取最新的 service pack,Windows Server 2003 的

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序被修补程序 961515 所取代。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的 日期和时间 项中的 时区 选项卡。
Windows Server 2003 与 x 基于 x86 版本的 Service Pack 1
文件的名称文件版本文件大小日期时间平台
Certpdef.dll5.2.3790.3017118,2722007 年九月 29 日05: 02x86
Windows Server 2003 与 x 基于 x86 版本的 Service Pack 2
文件的名称文件版本文件大小日期时间平台
Certpdef.dll5.2.3790.4161118,2722007 年九月 29 日05: 11x86
Windows Server 2003 与 Service Pack 1,基于 Itanium 的版本
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Certpdef.dll5.2.3790.3017300,0322007 年九月 29 日02: 53IA 64sp1不适用
Wcertpdef.dll5.2.3790.3017118,2722007 年九月 29 日02: 53x86sp1
Windows Server 2003 与 Service Pack 2,基于 Itanium 的版本
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Certpdef.dll5.2.3790.4161300,0322007 年九月 29 日03: 16IA 64sp2不适用
Wcertpdef.dll5.2.3790.4161118,2722007 年九月 29 日03: 16x86sp2
x 基于 x64 的版本的 Windows Server 2003
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Certpdef.dll5.2.3790.3017178,6882007 年九月 29 日02: 53x64sp1不适用
Wcertpdef.dll5.2.3790.3017118,2722007 年九月 29 日02: 53x86sp1
Windows Server 2003 与 x 基于 x64 的版本的 Service Pack 2
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Certpdef.dll5.2.3790.4161178,6882007 年九月 29 日03: 18x64sp2不适用
Wcertpdef.dll5.2.3790.4161118,2722007 年九月 29 日03: 18x86sp2

此修补程序解决了当计算机在模板中设置了 CT_FLAG_SUBJECT_ALT_REQUIRE_UPN 标志时,会发生的问题。当此标志设置的策略模块 主题 Alt 名称 (SAN) 字段中将计算机的 DNS 名称。这不是预期的行为。安装此修补程序后,将出现以下行为:
  • 在第一次证书颁发机构 (CA) 的策略模块会查询 Active Directory 中计算机的显式 UPN 属性。如果找到此属性中输入,则该项将被写入证书 SAN 字段中。
  • 如果在计算机的显式 UPN 属性中不找到任何条目,使用 samAccountName Active Directory 属性一起使用的域名称创建隐式的 UPN。
状态
Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。
更多信息
NAP 是一个新的平台,它执行以下作业:
  • NAP 执行计算机运行状况策略验证。
  • NAP 保证使用运行状况策略的现行法规遵从性。
  • NAP 还可以限制对不符合系统运行状况要求直到可以纠正这些计算机的运行状况状态的计算机的访问。
有关 NAP 的详细信息,请访问以下 Microsoft TechNet 网站:有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明
NAP SAN 备用主题名称的替代方法

警告:本文已自动翻译

属性

文章 ID:943089 - 上次审阅时间:01/15/2015 18:34:03 - 修订版本: 3.0

Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems

  • kbnosurvey kbarchive kbmt kbexpertiseinter kbwinserv2003postsp2fix kbbug kbfix kbhotfixserver kbqfe kbpubtypekc KB943089 KbMtzh
反馈