可用的兩個的改進,縮短時間所需使用 Windows Server 2008 中的網路裝置註冊服務管理 SCEP 憑證

適用於: Windows Server 2008 DatacenterWindows Server 2008 EnterpriseWindows Server 2008 Standard

狀況


在 Windows Server 2008 中,您嘗試使用網路裝置註冊服務 (NDES),以管理簡單憑證註冊通訊協定 (SCEP) 憑證。NDES 被安裝在 Windows Server 2008 中的憑證服務的一部份。在此案例中,您會遇到下列問題︰

問題 1

裝置之間,不能使用密碼。

根據 SCEP 通訊協定,裝置才能從 SCEP 伺服器要求憑證第一次時,傳送密碼。SCEP 伺服器會發出憑證之後驗證密碼。

SCEP 伺服器所用在驗證密碼之後發出憑證的程序如下所示︰
  1. 系統管理員登入 SCEP 管理的網站,並請求輸入密碼。
  2. SCEP 伺服器會產生隨機密碼、 將它儲存在快取中,然後顯示給系統管理員的 [密碼。
  3. 系統管理員設定裝置上的密碼。
  4. 裝置會傳送這個密碼,在初始要求以取得憑證。

    注意這個密碼的功能將在 60 分鐘。
  5. 伺服器發行該憑證,然後從快取中移除密碼。密碼不會再可由任何其他裝置使用。
問題 2

SCEP 憑證不能重新註冊為基準自動之後到期。

因為這兩個問題,可能需要系統管理員很長的時間來要求所有的裝置,並將 SCEP 憑證套用至它們的密碼。

解決方案


若要解決這兩個問題,請安裝 hotfix 959193。此 hotfix 將介紹下列兩個的改進︰

改進 1

您套用此 hotfix 之後,密碼可以各裝置間重複使用。新的處理序管理密碼如下所示︰
  1. SCEP 伺服器會確認 「 單一密碼 」 模式的登錄設定。在這個模式中,主要的密碼,建立並儲存在登錄中使用加密的資料。主要密碼永久有效]。
  2. 系統管理員登入至 SCEP 管理的網站,以及要求密碼。傳送主要密碼。
  3. 系統管理員設定裝置上的密碼。由於密碼是相同的所有裝置,而且永遠不會到期,系統管理員很容易撰寫指令碼來部署所有的裝置上的密碼。
如何啟用改進 1

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756如何備份及還原 Windows 中的登錄

若要啟用這項功能,建立下列的登錄項目︰
Location: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\UseSinglePassword
Name: UseSinglePassword
Type: REG_DWORD
Value: 1

注意如果您在網路服務帳戶下執行 NDES,您必須授與完全控制 」 權限的 「 網路服務 」 帳戶,下列登錄子機碼下︰ HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP

改進 2

憑證可以重新註冊為基準自動之後到期。在安裝 hotfix 之後,會自動啟用這項功能。

根據預設,當您使用這項功能,來要求憑證更新簽章者憑證必須有替代主體名稱與相同的主體名稱與所要求的憑證。避免發生這項需求,請將DisableRenewalSubjectNameMatch登錄項目,下列子機碼下的值設定為 1。

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\MSCEP\DisableRenewalSubjectNameMatch

注意您可能必須使用 REG_DWORD 類型,如果不存在的登錄項目來建立這個登錄項目。

Hotfix 資訊

支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 hotfix 只適用於發生本文所述之問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。

如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如 Microsoft 客戶服務及支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站︰注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。

重要的 Windows Vista 及 Windows Server 2008 hotfix 隨附在相同的套件中。不過,只有其中一個這些產品可能會列出 「 Hotfix 要求 」 網頁上。若要要求適用於 Windows Vista 和 Windows Server 2008 hotfix 套件,只要選取會列在頁面的產品。

先決條件

沒有任何先決條件。

重新啟動需求

您必須套用此 hotfix 之後,請重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代任何其他先前發行的 hotfix。

檔案資訊

此 hotfix 的英文版具有下列表格中所列檔案屬性 (或較新的檔案屬性)。這些檔案的日期和時間會以國際標準時間 (UTC) 格式列出。當您檢視檔案資訊時,會將它轉換為本地時間。若要查看 UTC 與當地時間的時差,請在 [控制台] 中的日期和時間項目使用 [時區] 索引標籤。
Windows Server 2008 檔案資訊備忘稿
.Manifest 檔案和.mum 檔案安裝在每個環境中會分別列出 Windows Server 2008 的其他檔案資訊 > 一節中。這些檔案及相關的.cat (安全性目錄) 檔案皆很重要維護更新元件的狀態。.Cat 檔案是以 Microsoft 數位簽章簽署的。不會列出這些安全性檔案的屬性。

對於所有支援的 Windows Server 2008 的 x86 為基礎的版本
檔案名稱檔案版本檔案大小日期時間平台
Mscep.dll6.0.6001.22356139,77617-Jan-200904:50x86
對於所有支援的 Windows Server 2008 的 x64 為主的版本
檔案名稱檔案版本檔案大小日期時間平台
Mscep.dll6.0.6001.22356157,18417-Jan-200906:25x64

狀態


Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。

更多的資訊


如需有關 SCEP 的詳細資訊,請造訪下列 「 網際網路草稿 Web 站台 (小組 IETF) 」 網站︰

http://www.ietf.org/proceedings/69/slides/pkix-3.pdf

請注意這份文件將在 2009 年 7 月 25 日到期。超過這個日期之後的資訊,請在網站上的 [首頁] 頁面上搜尋"SCEP"。

Microsoft 提供協力廠商連絡資訊,以協助您尋找技術支援。此連絡資訊可能會變更不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。


如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

用來描述 Microsoft 軟體更新標準術語的編號 824684描述


Windows Server 2008 的其他檔案資訊

對於所有支援的 Windows Server 2008 的 x86 為基礎的版本
檔案名稱檔案版本檔案大小日期時間平台
Package_for_kb959193_sc_0~31bf3856ad364e35~x86~~6.0.1.0.mum不適用13,17218-Jan-200901:10不適用
Package_for_kb959193_sc~31bf3856ad364e35~x86~~6.0.1.0.mum不適用1,42318-Jan-200901:10不適用
Package_for_kb959193_server_0~31bf3856ad364e35~x86~~6.0.1.0.mum不適用13,64718-Jan-200901:10不適用
Package_for_kb959193_server~31bf3856ad364e35~x86~~6.0.1.0.mum不適用1,43118-Jan-200901:10不適用
X86_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_64ef9a95a650c86b.manifest不適用43,47517-Jan-200907:10不適用
對於所有支援的 Windows Server 2008 的 x64 為主的版本
檔案名稱檔案版本檔案大小日期時間平台
Amd64_microsoft-windows-c..icateservices-mscep_31bf3856ad364e35_6.0.6001.22356_none_c10e36195eae39a1.manifest不適用43,50517-Jan-200909:42不適用
Package_for_kb959193_sc_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不適用13,28418-Jan-200901:10不適用
Package_for_kb959193_sc~31bf3856ad364e35~amd64~~6.0.1.0.mum不適用1,43118-Jan-200901:10不適用
Package_for_kb959193_server_0~31bf3856ad364e35~amd64~~6.0.1.0.mum不適用13,76318-Jan-200901:10不適用
Package_for_kb959193_server~31bf3856ad364e35~amd64~~6.0.1.0.mum不適用1,43918-Jan-200901:10不適用