狀況
請考慮下列情況:
-
您必須安裝在伺服器執行 Windows Server 2008 R2 或 Windows Server 2012 R2 的 Microsoft 線上回應服務。
-
伺服器用來設定及管理線上憑證狀態通訊協定(OCSP) 驗證。
在這個案例中,線上回應服務不會傳回具有決定性的值,為適用於所有的憑證不包含在 「 憑證撤銷清單 (CRL)。
原因
之所以發生這個問題,是因為 OCSP 不會驗證與確認來源的憑證實際上由其相對應的憑證授權單位發出。相反地,如果憑證不包括在 crl 之內,線上回應服務會假設該憑證有效,且傳回的良好值。
解決方案
如果要解決這個問題,在 Windows 8.1] 或 [Windows Server 2012 R2,安裝更新 2967917。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
2967917年 7 月 2014年更新彙總套件的 Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2
若要解決這個問題,在 Windows 7 或 Windows Server 2008 R2,安裝本文中 < hotfix="" 資訊=""> 一節所述的 hotfix。
在您安裝此 hotfix 之前,您必須設定 OCSP 服務讀取由憑證授權單位所發出的序號。如果要執行這項操作,請依照下列建立目錄的位置,在其中儲存序號檔案,並建立此目錄所指向的登錄機碼的這一節中的步驟。
注意事項
-
目錄可以位於網路共用或本機電腦上裝載。如果您設定 [陣列設定時,我們建議您裝載在網路共用目錄,以便所有陣列成員可以有 「 都讀取 」 存取權限。
-
不論目錄所在的位置,請確定 OCSP 服務目錄的 [讀取] 權限。用於不會修正此 hotfix 的任何 Microsoft 線上回應將不會套用登錄設定。
設定 OCSP 服務
您已為其設定 OCSP 服務的憑證授權單位電腦上執行下列步驟。
步驟 1︰ 目錄結構
-
啟動 [記事本],然後將下列的範例指令碼貼到新的文件︰
param( [ValidateScript({Test-Path $_})]
[String] $Path
)
pushd $Path
dir | foreach {
remove-item $_ -force
}
certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
if($_ -match 'Serial Number: "([^"]+)"') {
New-Item -type File $matches[1] | out-null
}
}
popd -
將新的文件儲存為Certs.ps1中。
-
建立空的檔案對應到所有發行的序列數字為要儲存的目錄。
-
執行 Certs.ps1 指令碼。若要這麼做,請在 Windows PowerShell 中執行下列命令︰
Certs.ps1 < 在步驟 3 中所建立的目錄位置 >
-
請檢查您在步驟 3,請確定檔案對應到已發行的序列值建立的目錄。
注意如果您有多個 Ca 在您的環境中裝載時,請確定其相對應的序號目錄會不同。不會共用相同的目錄之間不同的 Ca。 -
在 CA 的電腦上執行指令碼,並上載已儲存的檔案提供它的限制性的 Acl。檔案不應該是可編輯的。請確定所有 Microsoft 線上回應的電腦可以都存取此位置。
此程序的詳細資訊
Microsoft 線上回應傳回未知的值所發出的所有憑證,但尚未在步驟 6 中所建立的檔案中。這個指令碼必須以固定間隔執行,並重新整理,為了讓 Microsoft 線上回應,以提供最新的狀態。這個間隔設定視您特定的部署環境而定。我們建議您選取合適的間隔從四個小時的值在下個 CRL 發佈日期。
步驟 2︰ 登錄
警告如果您修改登錄不當使用 「 登錄編輯器,或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以解決這些問題。修改登錄請自行承擔風險。
-
結束所有的 Windows 應用程式。
-
按一下 [開始],然後按 [執行]、 輸入regedit,再按 [確定]。
-
找出並再選取下列登錄子機碼︰
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder
-
按一下您要為其建立的目錄結構的憑證授權單位 (CA)。
-
提供者節點上按一下滑鼠右鍵,指向 [新增],然後按一下 [多字串值。
-
輸入IssuedSerialNumbersDirectories,然後再按 Enter 鍵。
-
以滑鼠右鍵按一下IssuedSerialNumbersDirectories,,,然後按一下 [修改]。
-
在 [數值資料] 方塊中,輸入路徑到目錄的目錄結構的程序的步驟 3 中所建立,且包含已發行的序列值,並再按一下[確定]。
目錄路徑中,使用下列格式︰\\<computername>\<directorylocation>例如,使用類似下列的路徑︰
\\contoso-ocspfileserver\SerialNumbers
-
在 [檔案] 功能表中,按一下 [結束] 以結束「登錄編輯程式」。
-
安裝 hotfix 套件所提及,本文中。
"目錄結構 」 和 「 登錄 」 步驟之後,安裝本文所提及 hotfix 套件。
結果
安裝 hotfix 之後,線上回應服務應該執行下列作業︰
-
傳回值的好經過驗證的憑證類型
-
傳回包含在 CRL 的憑證已撤銷的值
-
傳回未知的值無法驗證的所有其他憑證
Hotfix 資訊
使用 Microsoft 支援從支援的 hotfix。不過,此 Hotfix 僅用於修正本文中所述的問題。此 hotfix 只適用於發生本文所述之問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。
如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。
注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如需 Microsoft 客戶服務和支援的電話號碼或建立個別的服務要求的完整清單,請移至下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。
先決條件
若要套用此 hotfix,您必須擁有 Windows 7 或安裝的 Windows Server 2008 R2 的Service Pack 1 。
重新啟動需求
您不必套用此 hotfix 之後,重新啟動電腦。
Hotfix 取代資訊
此 hotfix 不會取代任何先前發行的 hotfix。
此 hotfix 的英文 (美國) 版會安裝具有下列表格中所列的屬性的檔案。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。
Windows 7 和 Windows Server 2008 R2 檔案資訊和注意事項重要Windows 7 hotfix 及 Windows Server 2008 R2 hotfix 隨附在相同的套件中。不過,在 [Hotfix 要求] 頁面上的 Hotfix 會在這兩個作業系統下列出。若要要求套用至一或兩個作業系統的 Hotfix 套件,請選取此頁面上列在 Windows 7/Windows Server 2008 R2 之下的 Hotfix。永遠參考文件的 「 套用 」 一節以判斷實際套用每個 hotfix 的作業系統。
-
藉由檢查的檔案版本號碼,如下列表格所示,可以識別套用至特定產品、 SR_Level (RTM、 SPn) 及服務分支 (LDR、 GDR) 的檔案。
版本
產品
SR_Level
服務分支
6.1.760
1. 22xxxWindows 7 和 Windows Server 2008 R2
SP1
LDR
-
GDR 服務分支只包含這些修正程式所發行的通用廣泛的極為重要問題。LDR 服務分支包含廣為發佈和其他的修正程式。
-
資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 < 其他檔案的="" windows="" 7="" 和="" windows="" server="" 2008="" r2="" 資訊=""> 一節中的 [分別列出。MUM 及 MANIFEST 檔案,以及相關的安全性目錄 (.cat) 檔案,對維護更新元件的狀態非常重要。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。
適用於所有支援的 Windows 7 x86 版本
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
平台 |
預存程序需求 |
服務分支 |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
無 |
不適用 |
Ocsprevp.dll |
6.1.7601.22705 |
151,552 |
30-May-2014 |
07:35 |
x86 |
SPR |
X86_MICROSOFT-WINDOWS-C..RVICES-OCSP |
適用於所有支援 x64 版本的 Windows 7 和 Windows Server 2008 R2
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
平台 |
預存程序需求 |
服務分支 |
---|---|---|---|---|---|---|---|
Certadm.dll |
6.1.7601.22705 |
419,840 |
30-May-2014 |
08:00 |
x64 |
無 |
不適用 |
Ocsprevp.dll |
6.1.7601.22705 |
184,832 |
30-May-2014 |
08:00 |
x64 |
SPR |
AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP |
Certadm.dll |
6.1.7601.22705 |
311,808 |
30-May-2014 |
07:35 |
x86 |
無 |
不適用 |
Windows 7 和 Windows Server 2008 R2 的其他檔案資訊
適用於所有支援的 Windows 7 x86 版本的其他檔案
檔案屬性 |
值 |
---|---|
檔案名稱 |
X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest |
檔案版本 |
不適用 |
檔案大小 |
720 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
13:22 |
平台 |
不適用 |
檔案名稱 |
X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest |
檔案版本 |
不適用 |
檔案大小 |
719 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
13:22 |
平台 |
不適用 |
檔案名稱 |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
檔案版本 |
不適用 |
檔案大小 |
63,628 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
07:59 |
平台 |
不適用 |
檔案名稱 |
X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest |
檔案版本 |
不適用 |
檔案大小 |
11,236 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
08:00 |
平台 |
不適用 |
所有支援 x64 版本的 Windows 7 和 Windows Server 2008 R2 的其他檔案
檔案屬性 |
值 |
---|---|
檔案名稱 |
Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest |
檔案版本 |
不適用 |
檔案大小 |
723 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
13:22 |
平台 |
不適用 |
檔案名稱 |
Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest |
檔案版本 |
不適用 |
檔案大小 |
721 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
13:22 |
平台 |
不適用 |
檔案名稱 |
Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest |
檔案版本 |
不適用 |
檔案大小 |
724 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
13:22 |
平台 |
不適用 |
檔案名稱 |
Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest |
檔案版本 |
不適用 |
檔案大小 |
63,632 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
08:30 |
平台 |
不適用 |
檔案名稱 |
Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest |
檔案版本 |
不適用 |
檔案大小 |
11,240 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
08:30 |
平台 |
不適用 |
檔案名稱 |
X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest |
檔案版本 |
不適用 |
檔案大小 |
63,628 |
日期 (UTC) |
30-May-2014 |
時間 (UTC) |
07:59 |
平台 |
不適用 |
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
更多的資訊
此 hotfix 會提供設計變更使 Microsoft OCSP 回應程式知道所有的憑證,了解哪種下列條件為真︰
-
它們是由 CA 所發行的。
-
未撤銷。
-
它們是目前在他們自己的有效期間。
參考
深入了解 Microsoft 會使用來描述軟體更新術語。