狀況

請考慮下列情況:

  • 您必須安裝在伺服器執行 Windows Server 2008 R2 或 Windows Server 2012 R2 的 Microsoft 線上回應服務。

  • 伺服器用來設定及管理線上憑證狀態通訊協定(OCSP) 驗證。


在這個案例中,線上回應服務不會傳回具有決定性的值,為適用於所有的憑證不包含在 「 憑證撤銷清單 (CRL)。

原因

之所以發生這個問題,是因為 OCSP 不會驗證與確認來源的憑證實際上由其相對應的憑證授權單位發出。相反地,如果憑證不包括在 crl 之內,線上回應服務會假設該憑證有效,且傳回的良好值。

解決方案

如果要解決這個問題,在 Windows 8.1] 或 [Windows Server 2012 R2,安裝更新 2967917。如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

2967917年 7 月 2014年更新彙總套件的 Windows RT 8.1、 Windows 8.1 和 Windows Server 2012 R2
若要解決這個問題,在 Windows 7 或 Windows Server 2008 R2,安裝本文中 < hotfix="" 資訊=""> 一節所述的 hotfix。

在您安裝此 hotfix 之前,您必須設定 OCSP 服務讀取由憑證授權單位所發出的序號。如果要執行這項操作,請依照下列建立目錄的位置,在其中儲存序號檔案,並建立此目錄所指向的登錄機碼的這一節中的步驟。

注意事項

  • 目錄可以位於網路共用或本機電腦上裝載。如果您設定 [陣列設定時,我們建議您裝載在網路共用目錄,以便所有陣列成員可以有 「 都讀取 」 存取權限。

  • 不論目錄所在的位置,請確定 OCSP 服務目錄的 [讀取] 權限。用於不會修正此 hotfix 的任何 Microsoft 線上回應將不會套用登錄設定。

設定 OCSP 服務

您已為其設定 OCSP 服務的憑證授權單位電腦上執行下列步驟。

步驟 1︰ 目錄結構

  1. 啟動 [記事本],然後將下列的範例指令碼貼到新的文件︰

    param(    [ValidateScript({Test-Path $_})]
    [String] $Path
    )
    pushd $Path
    dir | foreach {
    remove-item $_ -force
    }
    certutil.exe -out serialnumber -restrict "Disposition = 20" -view | foreach {
    if($_ -match 'Serial Number: "([^"]+)"') {
    New-Item -type File $matches[1] | out-null
    }
    }
    popd
  2. 將新的文件儲存為Certs.ps1中。

  3. 建立空的檔案對應到所有發行的序列數字為要儲存的目錄。

  4. 執行 Certs.ps1 指令碼。若要這麼做,請在 Windows PowerShell 中執行下列命令︰

    Certs.ps1 < 在步驟 3 中所建立的目錄位置 >

  5. 請檢查您在步驟 3,請確定檔案對應到已發行的序列值建立的目錄。

    注意如果您有多個 Ca 在您的環境中裝載時,請確定其相對應的序號目錄會不同。不會共用相同的目錄之間不同的 Ca。

  6. 在 CA 的電腦上執行指令碼,並上載已儲存的檔案提供它的限制性的 Acl。檔案不應該是可編輯的。請確定所有 Microsoft 線上回應的電腦可以都存取此位置。

此程序的詳細資訊

Microsoft 線上回應傳回未知的值所發出的所有憑證,但尚未在步驟 6 中所建立的檔案中。這個指令碼必須以固定間隔執行,並重新整理,為了讓 Microsoft 線上回應,以提供最新的狀態。這個間隔設定視您特定的部署環境而定。我們建議您選取合適的間隔從四個小時的值在下個 CRL 發佈日期。

步驟 2︰ 登錄

警告如果您修改登錄不當使用 「 登錄編輯器,或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以解決這些問題。修改登錄請自行承擔風險。

  1. 結束所有的 Windows 應用程式。

  2. 按一下 [開始],然後按 [執行]、 輸入regedit,再按 [確定]。

  3. 找出並再選取下列登錄子機碼︰

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OcspSvc\Responder

  4. 按一下您要為其建立的目錄結構的憑證授權單位 (CA)。

  5. 提供者節點上按一下滑鼠右鍵,指向 [新增],然後按一下 [多字串值

  6. 輸入IssuedSerialNumbersDirectories,然後再按 Enter 鍵。

  7. 以滑鼠右鍵按一下IssuedSerialNumbersDirectories,,,然後按一下 [修改]

  8. 在 [數值資料] 方塊中,輸入路徑到目錄的目錄結構的程序的步驟 3 中所建立,且包含已發行的序列值,並再按一下[確定]

    目錄路徑中,使用下列格式︰


    \\<computername>\<directorylocation>例如,使用類似下列的路徑︰


    \\contoso-ocspfileserver\SerialNumbers

  9. 在 [檔案] 功能表中,按一下 [結束] 以結束「登錄編輯程式」。

  10. 安裝 hotfix 套件所提及,本文中。

"目錄結構 」 和 「 登錄 」 步驟之後,安裝本文所提及 hotfix 套件。

結果

安裝 hotfix 之後,線上回應服務應該執行下列作業︰

  • 傳回值的好經過驗證的憑證類型

  • 傳回包含在 CRL 的憑證已撤銷的值

  • 傳回未知的值無法驗證的所有其他憑證

Hotfix 資訊

使用 Microsoft 支援從支援的 hotfix。不過,此 Hotfix 僅用於修正本文中所述的問題。此 hotfix 只適用於發生本文所述之問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。

如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如需 Microsoft 客戶服務和支援的電話號碼或建立個別的服務要求的完整清單,請移至下列 Microsoft 網站:

http://support.microsoft.com/contactus/?ws=support注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。

先決條件

若要套用此 hotfix,您必須擁有 Windows 7 或安裝的 Windows Server 2008 R2 的Service Pack 1

重新啟動需求

您不必套用此 hotfix 之後,重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代任何先前發行的 hotfix。

此 hotfix 的英文 (美國) 版會安裝具有下列表格中所列的屬性的檔案。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。

Windows 7 和 Windows Server 2008 R2 檔案資訊和注意事項重要Windows 7 hotfix 及 Windows Server 2008 R2 hotfix 隨附在相同的套件中。不過,在 [Hotfix 要求] 頁面上的 Hotfix 會在這兩個作業系統下列出。若要要求套用至一或兩個作業系統的 Hotfix 套件,請選取此頁面上列在 Windows 7/Windows Server 2008 R2 之下的 Hotfix。永遠參考文件的 「 套用 」 一節以判斷實際套用每個 hotfix 的作業系統。

  • 藉由檢查的檔案版本號碼,如下列表格所示,可以識別套用至特定產品、 SR_Level (RTM、 SPn) 及服務分支 (LDR、 GDR) 的檔案。

    版本

    產品

    SR_Level

    服務分支

    6.1.760
    1. 22xxx

    Windows 7 和 Windows Server 2008 R2

    SP1

    LDR

  • GDR 服務分支只包含這些修正程式所發行的通用廣泛的極為重要問題。LDR 服務分支包含廣為發佈和其他的修正程式。

  • 資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 < 其他檔案的="" windows="" 7="" 和="" windows="" server="" 2008="" r2="" 資訊=""> 一節中的 [分別列出。MUM 及 MANIFEST 檔案,以及相關的安全性目錄 (.cat) 檔案,對維護更新元件的狀態非常重要。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。

適用於所有支援的 Windows 7 x86 版本

檔案名稱

檔案版本

檔案大小

日期

時間

平台

預存程序需求

服務分支

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

不適用

Ocsprevp.dll

6.1.7601.22705

151,552

30-May-2014

07:35

x86

SPR

X86_MICROSOFT-WINDOWS-C..RVICES-OCSP

適用於所有支援 x64 版本的 Windows 7 和 Windows Server 2008 R2

檔案名稱

檔案版本

檔案大小

日期

時間

平台

預存程序需求

服務分支

Certadm.dll

6.1.7601.22705

419,840

30-May-2014

08:00

x64

不適用

Ocsprevp.dll

6.1.7601.22705

184,832

30-May-2014

08:00

x64

SPR

AMD64_MICROSOFT-WINDOWS-C..RVICES-OCSP

Certadm.dll

6.1.7601.22705

311,808

30-May-2014

07:35

x86

不適用

Windows 7 和 Windows Server 2008 R2 的其他檔案資訊

適用於所有支援的 Windows 7 x86 版本的其他檔案

檔案屬性

檔案名稱

X86_74cf6012e0c0848e4278d81edb498f57_31bf3856ad364e35_6.1.7601.22705_none_687e23128c3d4f60.manifest

檔案版本

不適用

檔案大小

720

日期 (UTC)

30-May-2014

時間 (UTC)

13:22

平台

不適用

檔案名稱

X86_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_e2bdab049b2b9eb7.manifest

檔案版本

不適用

檔案大小

719

日期 (UTC)

30-May-2014

時間 (UTC)

13:22

平台

不適用

檔案名稱

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

檔案版本

不適用

檔案大小

63,628

日期 (UTC)

30-May-2014

時間 (UTC)

07:59

平台

不適用

檔案名稱

X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_aabdbfd684b7bee2.manifest

檔案版本

不適用

檔案大小

11,236

日期 (UTC)

30-May-2014

時間 (UTC)

08:00

平台

不適用

所有支援 x64 版本的 Windows 7 和 Windows Server 2008 R2 的其他檔案

檔案屬性

檔案名稱

Amd64_289c1acfb9c833300b9be057dddaf8ce_31bf3856ad364e35_6.1.7601.22705_none_3849b07ccfc921b1.manifest

檔案版本

不適用

檔案大小

723

日期 (UTC)

30-May-2014

時間 (UTC)

13:22

平台

不適用

檔案名稱

Amd64_ba7892133a8ba51b64cdd01b6c369fc1_31bf3856ad364e35_6.1.7601.22705_none_3edc468853890fed.manifest

檔案版本

不適用

檔案大小

721

日期 (UTC)

30-May-2014

時間 (UTC)

13:22

平台

不適用

檔案名稱

Amd64_d2636d483577d32262fc058a8024fde6_31bf3856ad364e35_6.1.7601.22705_none_272f59c3d10b686a.manifest

檔案版本

不適用

檔案大小

724

日期 (UTC)

30-May-2014

時間 (UTC)

13:22

平台

不適用

檔案名稱

Amd64_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_4a9451b3f2604794.manifest

檔案版本

不適用

檔案大小

63,632

日期 (UTC)

30-May-2014

時間 (UTC)

08:30

平台

不適用

檔案名稱

Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.1.7601.22705_none_06dc5b5a3d153018.manifest

檔案版本

不適用

檔案大小

11,240

日期 (UTC)

30-May-2014

時間 (UTC)

08:30

平台

不適用

檔案名稱

X86_microsoft-windows-c..ervices-certadm-dll_31bf3856ad364e35_6.1.7601.22705_none_ee75b6303a02d65e.manifest

檔案版本

不適用

檔案大小

63,628

日期 (UTC)

30-May-2014

時間 (UTC)

07:59

平台

不適用


狀態

Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。

更多的資訊

此 hotfix 會提供設計變更使 Microsoft OCSP 回應程式知道所有的憑證,了解哪種下列條件為真︰

  • 它們是由 CA 所發行的。

  • 未撤銷。

  • 它們是目前在他們自己的有效期間。

參考

深入了解 Microsoft 會使用來描述軟體更新術語

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×