Microsoft 線上回應無法服務的 OCSP 要求包含多個憑證

狀況

在 Windows Server 2012 R2 或 Windows Server 2008 R2 中,您就會有下列兩種的公開金鑰基礎結構 (PKI) 環境︰

  • 企業 PKI 環境離線根憑證授權單位 (CA) 和線上企業發行次級 CA 所組成。

  • 獨立 (非網域) 根 CA,用於外部 (非網卡) 之用。獨立根 CA 也有其支援企業的線上回應節點的撤銷設定。例如,只有一個線上憑證狀態通訊協定 (OCSP) 伺服器,而它支援兩個 PKI 基礎結構。


在此情況下,Microsoft 線上回應 caters 只是要包含單一要求任何先前所述的 Ca 的 OCSP 要求。如果 OCSP 要求包含多個要求的所有這些設定的 Ca,Microsoft 線上回應無法回應,即使 Ca 設定。

原因

之所以發生這個問題,是因為 Windows 與不相容 RFC 2560 X.509 網際網路公用金鑰基礎結構線上憑證狀態通訊協定,即使是符合 RFC 5019 – 高容量的環境的輕量型線上憑證狀態通訊協定 (OCSP) 設定檔。因此,Microsoft 線上回應視窗中不支援在單一的 OCSP 要求一個以上的憑證。

解決方案

若要解決這個問題,Windows Server 2012 R2,安裝更新或安裝本文所述的 hotfix。

Hotfix 資訊

使用 Microsoft 支援從支援的 hotfix。不過,此 Hotfix 僅用於修正本文中所述的問題。此 hotfix 只適用於迎合支援多個要求的 OCSP 用戶端的 Microsoft 線上回應安裝。(例如,請注意,Windows 用戶端不支援多個要求 OCSP 要求中)。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。

如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如需 Microsoft 客戶服務和支援的電話號碼或建立個別的服務要求的完整清單,請移至下列 Microsoft 網站:

注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。

登錄資訊

若要啟用此 hotfix,並允許在單一的 OCSP 回應中的多個憑證,您必須變更下列登錄子機碼︰

登錄位置︰HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OCSPSvc\Responder
DWORD 名稱︰MaxNumOfRequestEntries
DWORD 值︰大於 1 的值
注意MaxNumOfRequestEntries的 DWORD 值的預設值為 1。

其他注意事項

  1. 深入了解登錄子機碼。如果未正確設定此子機碼,IIS 不會收到要求,並 HTTP.sys 會失敗。此外,IIS 記錄檔是空的而且會傳回錯誤 400。這個問題會限制區段長度,您必須重新啟動電腦。

  2. 深入了解如何確定要求的限制已正確設定,較大的要求。如果這個設定不正確,IIS 就會傳回錯誤 404.14,且路徑長度限制。

  3. 沒有附註 1 和附註 2 之間有差異。附註 1 情況牽涉到在路徑中,每個區段,而附註 2 屬於的完整路徑。

    例如︰

    http://server/ocsp/request

    • 區段是路徑的以正斜線 (/) 字元分隔的任何部分。在這個範例中,「 ocsp 」 及 「 要求 」 是個別區段,因為它們以正斜線字元分隔。

    • 在這個路徑中,/ocsp/request 是路徑。


先決條件

若要套用此 hotfix,您必須擁有 ,Windows Server 2008 R2 安裝,或在 Windows Server 2012 R2 的執行。

重新啟動需求

您不必套用此 hotfix 之後,重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代任何先前發行的 hotfix。

此 hotfix 的英文 (美國) 版會安裝具有下列表格中所列的屬性的檔案。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。


Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2 的檔案資訊附註重要Windows 8.1 hotfix 及 Windows Server 2012 R2 hotfix 隨附在相同的套件中。不過,只有 [Windows 8.1] 會列在 Hotfix 要求] 頁面。若要要求 hotfix 套件套用至一或兩個作業系統,選取頁面上 Windows 8.1 下方所列的 hotfix。永遠參考文件的〈套用〉一節以判斷實際套用每個 hotfix 的作業系統。

  • 可以藉由檢查檔案版本號碼來識別套用至特定產品、里程碑 (RTM、SPn) 及服務分支 (LDR、 GDR) 的檔案,如下列表格中所示:

  • 並未列出的資訊清單檔案 (.manifest) 」 和 「 菊檔案 (.mum) 所安裝的每個環境。

狀態

Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。

參考

深入了解 Microsoft 會使用來描述軟體更新。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×