Ein Windows Server 2008-basierter OCSP-Responder protokolliert einen falschen „thisUpdate"-Zeitstempel in der OCSP-Antwort
Symptome
Gehen Sie davon aus, dass Sie einen auf Windows Server 2008 basierenden OCSP-Responder (Online Certificate Status Protocol) in einer Netzwerkumgebung überwachen. In diesem Szenario ist der Wert des Zeitstempels „thisUpdate" in der OCSP-Antwort um 24 Stunden veraltet. Es sollte ein neuerer Zeitstempelwert verwendet werden, der auf der zuletzt ausgestellten Delta-Zertifikatssperrliste (CRL) basiert.
Anmerkungen
Dieses Problem bleibt bestehen, bis der OCSP-Responder die Basis- und Delta-CRLs erneut abruft.
Hierbei handelt es sich um ein Protokollierungsproblem, das sich nicht auf den eigentlichen Zertifikatsvalidierungsprozess auswirkt. Zur Validierung von Zertifikaten wird immer die aktuellste CRL verwendet.
Um einen OCSP-Responder in Windows Server 2008 zu konfigurieren, aktivieren Sie den Rollendienst „Online Certificate Status Protocol" unter der Serverrolle „Active Directory-Zertifikatdienste".
Ursache
Das Problem tritt auf, weil der Online-Responderdienst (Ocspsvc.exe) den Wert des Feldes „thisUpdate" aus der Basis-CRL statt aus der Delta-CRL abruft.
Auflösung
Hotfix-Informationen
Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll jedoch nur das in diesem Artikel beschriebene Problem beheben. Wenden Sie diesen Hotfix nur auf Systemen an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix wird möglicherweise weiteren Tests unterzogen. Wenn Sie von diesem Problem nicht schwerwiegend betroffen sind, empfehlen wir Ihnen daher, auf das nächste Software-Update zu warten, das diesen Hotfix enthält.
Wenn der Hotfix zum Download verfügbar ist, finden Sie oben in diesem Knowledge Base-Artikel den Abschnitt „Hotfix-Download verfügbar". Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Kundendienst und Support von Microsoft, um den Hotfix zu erhalten.
Hinweis Wenn weitere Probleme auftreten oder eine Fehlerbehebung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Für weitere Supportfragen und Probleme, die für diesen speziellen Hotfix nicht in Frage kommen, fallen die üblichen Supportkosten an. Eine vollständige Liste der Microsoft-Kundendienst- und Support-Telefonnummern oder zum Erstellen einer separaten Serviceanfrage finden Sie auf der folgenden Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support Hinweis Im Formular „Hotfix-Download verfügbar" werden die Sprachen angezeigt, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, liegt das daran, dass für diese Sprache kein Hotfix verfügbar ist.
Voraussetzungen
Um diesen Hotfix anzuwenden, müssen Sie Windows Server 2008 Service Pack 2 (SP2) ausführen. Darüber hinaus müssen Sie den Rollendienst Online Certificate Status Protocol aktivieren.
Weitere Informationen zum Erhalten eines Windows Vista Service Packs erhalten Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
935791 So erhalten Sie das neueste Service Pack für Windows Vista
Weitere Informationen zum Erhalten eines Service Packs für Windows Server 2008 erhalten Sie, wenn Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
968849 So erhalten Sie das neueste Service Pack für Windows Server 2008
Registrierungsinformationen
Um den Hotfix in diesem Paket zu verwenden, müssen Sie keine Änderungen an der Registrierung vornehmen.
Neustartanforderung
Sie müssen den Computer nach der Installation dieses Hotfixes nicht neu starten. Um einen Neustart zu vermeiden, beenden Sie den Rollendienst „Online Certificate Status Protocol".
Informationen zum Hotfix-Ersatz
Dieser Hotfix ersetzt keinen zuvor veröffentlichten Hotfix.
Dateiinformationen
Die globale Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien werden in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien auf Ihrem lokalen Computer werden in Ihrer Ortszeit zusammen mit Ihrer aktuellen Sommerzeit (DST) angezeigt. Darüber hinaus können sich Datum und Uhrzeit ändern, wenn Sie bestimmte Vorgänge an den Dateien ausführen.
Hinweise zu Dateiinformationen für Windows Server 2008
Wichtige Hotfixes für Windows Vista und Windows Server 2008 sind in denselben Paketen enthalten. Auf der Seite „Hotfix-Anfrage" wird jedoch nur „Windows Vista" aufgeführt. Um das Hotfix-Paket anzufordern, das für eines oder beide Betriebssysteme gilt, wählen Sie den Hotfix aus, der auf der Seite unter „Windows Vista" aufgeführt ist. Sehen Sie sich in Artikeln immer den Abschnitt „Gilt für" an, um das tatsächliche Betriebssystem zu ermitteln, für das jeder Hotfix gilt.
Die Dateien, die für ein bestimmtes Produkt, SR_Level (RTM, SP n ) und einen Servicezweig (LDR, GDR) gelten, können durch Untersuchen der Dateiversionsnummern identifiziert werden, wie in der folgenden Tabelle gezeigt.
Ausführung
Produkt
SR_Level
Servicezweig
6.0.600
2.
22 xxxWindows Server 2008
SP2
LDR
Die MANIFEST-Dateien (.manifest) und die MUM-Dateien (.mum), die für jede Umgebung installiert werden, werden im Abschnitt „Zusätzliche Dateiinformationen für Windows Server 2008" separat aufgeführt . MUM-Dateien und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) sind äußerst wichtig, um den Status der aktualisierten Komponenten aufrechtzuerhalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Signatur von Microsoft signiert.
Für alle unterstützten x86-basierten Versionen von Windows Server 2008
Dateiname | Dateiversion | Dateigröße | Datum | Zeit | Plattform |
|---|---|---|---|---|---|
Ocsprevp.dll | 6.0.6002.22730 | 146.944 | 21. Okt. 2011 | 16:53 | x86 |
Für alle unterstützten x64-basierten Versionen von Windows Server 2008
Dateiname | Dateiversion | Dateigröße | Datum | Zeit | Plattform |
|---|---|---|---|---|---|
Ocsprevp.dll | 6.0.6002.22730 | 181.760 | 21. Okt. 2011 | 16:04 | x64 |
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Gilt für" aufgeführt sind.
Mehr Informationen
Mit dem Microsoft Online Responder Service können Sie OCSP-Validierungs- und Sperrprüfungen in einem Windows-basierten Netzwerk konfigurieren und verwalten. Um PKI-Clients (Public Key Infrastructure) in einer vielfältigen Umgebung zu unterstützen, können Sie mit dem Online-Responder-Snap-In die Sperrkonfigurationen und die Online-Responder-Arrays konfigurieren und verwalten.
Für weitere Informationen zur Softwareupdate-Terminologie klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
824684 Beschreibung der Standardterminologie, die zur Beschreibung von Microsoft-Softwareupdates verwendet wird
Zusätzliche Dateiinformationen
Zusätzliche Dateiinformationen für Windows Server 2008
Zusätzliche Dateien für alle unterstützten x86-basierten Versionen von Windows Server 2008
Dateiname | X86_7e0a71f54b8893f6a917a1a21a5f6de0_31bf3856ad364e35_6.0.6002.22730_none_e30adf22185910cc.manifest |
Dateiversion | Unzutreffend |
Dateigröße | 720 |
Datum (UTC) | 24. Okt. 2011 |
Zeit (UTC) | 08:20 |
Dateiname | X86_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.0.6002.22730_none_aa70add123bd20ff.manifest |
Dateiversion | Unzutreffend |
Dateigröße | 24.465 |
Datum (UTC) | 21. Okt. 2011 |
Zeit (UTC) | 17:19 |
Zusätzliche Dateien für alle unterstützten x64-basierten Versionen von Windows Server 2008
Dateiname | Amd64_22ec17b0e8bbd02996c9407c2c14b715_31bf3856ad364e35_6.0.6002.22730_none_89994269dada0cb1.manifest |
Dateiversion | Unzutreffend |
Dateigröße | 724 |
Datum (UTC) | 24. Okt. 2011 |
Zeit (UTC) | 08:20 |
Dateiname | Amd64_microsoft-windows-c..rvices-ocsprevp-dll_31bf3856ad364e35_6.0.6002.22730_none_068f4954dc1a9235.manifest |
Dateiversion | Unzutreffend |
Dateigröße | 24.493 |
Datum (UTC) | 21. Okt. 2011 |
Zeit (UTC) | 16:24 |
No comments:
Post a Comment