說明 Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2 的 .NET Framework 4.5.2 的僅限安全性更新：2017 年 5 月 9 日

警告

如果您使用「登錄編輯程式」或其他方法不當地修改登錄，可能會發生嚴重問題。 您可能需要重新安裝作業系統才能解決這些問題。 Microsoft 不保證可以解決這些問題。 請自行承擔修改登錄的一切風險。

• 增強型金鑰使用 (EKU) 在 第 4.2.1.12 節中的 RFC 5280中進行了描述： 除了或代替在金鑰使用擴展中指示的基本目的之外，該擴展表示可以使用經驗證 的公開金鑰的一個或多個目的。 例如，用’於用戶端到伺服器驗證的憑證必須設定為用戶端驗證。 同樣的，用’於伺服器驗證的憑證必須設定為伺服器驗證。
  
  當憑證用於驗證時，驗證器檢查用戶端憑證並在應用程式策略擴展中查找正確的目標物件識別碼。 例如，用戶端驗證的物件識別碼為 1.3.6.1.5.5.7.3.2。 當憑證用於用戶端驗證時，該物件識別碼必須存在於憑證的 EKU 延伸中，否則驗證失敗。 沒有 EKU 擴展的憑證繼續正確驗證。
  
  如果您暫時無’法正確訪問重新發行的憑證，您可以在所有電腦運行中選擇加入或者選擇退出安全性更改以避免任何連接影響。 若要執行這項操作，根據您的應用程式設為目標的的 .NET Framework 版本，指定以下登錄機碼設定。
  
  方法 1： 更新登錄機碼（適用於所有版本）
  
  注意：此登錄項目必須為 DWORD 項目。
  

  • 適用於 32 位元系統上的 32 位元處理程序，以及 64 位元系統上的 64 位元處理程序：
    

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  • 適用於 64 位元系統上的 32 位元處理程序：
    

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@RequireCertificateEKUs=0

  您也可以根據每個應用程式選擇退出。 以下選項可用於停用此項更改以確保 應用程式相容性得到維護。
  
  方法 2： 停用個別應用程式的策略
  
  注意： 此登錄項目必須為 DWORD 項目。 唯一有效的值是 0。 任何其他值都被忽略。

  • 適用於 32 位元系統上的 32 位元處理程序，以及 64 位元系統上的 64 位元處理程序：

    HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  • 適用於 64 位元系統上的 32 位元處理程序：

    HKEY_LOCAL_MACHINE \Software\Wow6432Node\Microsoft\.NETFramework\v4.0.30319@System.Net.ServicePointManager.RequireCertificateEKUs
    S:\Prj\console_pg\console_pg45\bin\Release\console_pg45.exe=0
    C:\MyApp\MyApp.exe=0

  方法 3： 使用設定 API（適用於 .NET Framework 4.6 及更高版本）
  
  從 .NET Framework 4.6 開始，您可以透過程式碼、應用程式設定或者登錄更改來更改應用程式層級的設定。
  
  設定 .NET Framework 4.6中的參數
  
  注意： 下列範例 不使用安全性功能

  • 程式設計方式
    
    應用程式應該做的第一件事就是執行下列程式碼。 這是因為 Service Point Manager 只會初始化一次。
      private const string DisableCachingName = @"TestSwitch.LocalAppContext.DisableCaching"; private const string DontCheckCertificateEKUsName= @"Switch.System.Net.DontCheckCertificateEKUs"; AppContext.SetSwitch(DisableCachingName, true); AppContext.SetSwitch(DontCheckCertificateEKUsName, true);

  • 應用程式設定
    
    若要變更應用程式設定，請新增下列項目︰
      <runtime> <AppContextSwitchOverrides value="Switch.System.Net.DontCheckCertificateEKUsName=true"/> </runtime>

  • 登錄機碼 (全域的機器)：
    

    登錄位置： HKEY_LOCAL_MACHINE\Software\[Wow6432Node\]Microsoft\.NETFramework\AppContext\Switch.System.Net.DontCheckCertificateEKUsName

    類型： 字串
    值： 「true」

  注意： 根據預設， Switch.System.Net.DontCheckCertificateEKUsName = True 適用於所有 在 .NET Framework 4.6及 更高版本上運行的 .NET Framework 4. x 應用程式。

• 若要深入了解這個與 Windows 7 Service Pack 1  及 Windows Server 2008 R2 Service Pack 1 相關的安全性更新，請參閱 Microsoft 知識庫中的下列文章：

  4019108 適用於 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 之 .NET Framework 3.5.1、4.5.2、4.6、4.6.1 和 4.6.2 更新的僅限安全性更新： 2017 年 5 月 9 日

  若要深入了解這個與 Windows Server 2008 Service Pack 2 相關的安全性更新，請參閱 Microsoft 知識庫中的下列文章：

  4019109 Windows Server 2008 Service Pack 2 的 .NET Framework 2.0 Service Pack 2、4.5.2 和 4.6 更新的僅限安全性更新： 2017 年 5 月 9 日