我已将部分测试主机更新至更新 1 ( KB2919355)。
现在,他们无法再针对 WSUS 进行扫描 ( 0x80072F8F)
好的,你说得简单!微软已修复该问题并发出警告。
现在到了最难的部分。我的 WSUS 服务器在 2012 R2 上运行,并且启用了 TLS 1.2 - 我应该不会受到影响。
更奇怪的是,我安装了修正更新据说已经修复了这个问题。为了安全起见,我尝试安装KB2959977上述知识库文章中提到的更新。结果:此更新已安装。
所以,我在这里很困惑 :) 有其他人遇到同样的问题吗?有什么建议吗?微软真的搞砸了吗?
答案1
检查您的证书链中是否有使用签名算法 MD5 或 SHA512 的证书。TLS 1.2 不再支持 MD5。Microsoft 实施的 TLS 1.2 默认不支持 SHA512。请查看:
答案2
这确实与证书有关。
安装后,KB2919355证书似乎受到更严格的检查,尤其是 CRL。
我们必须使用以下方法进行诊断:
诊断
以管理员身份运行以下命令来清除撤销缓存
certutil.exe -urlcache * delete
reg delete "HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" /v DisallowedCertEncodedCtl /f
reg delete "HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" /v DisallowedCertLastSyncTime /fcertutil.exe -setreg chain\ChainCacheResyncFiletime @now
net stop cryptsvc
net stop wuauserv
ipconfig /flushdns
以管理员身份运行以下命令来启动网络跟踪:
netsh trace start scenario=InternetClient
从事件查看器启用 CAPI2 日志记录:
打开“事件查看器”
浏览到“应用程序和服务日志”> Microsoft > Windows > CAPI2 > Operational。
右键单击目录树中的“Operational”,然后选择“启用日志”
使用 UI(控制面板小程序或 PC 设置)对公共 Windows 更新进行扫描并让其失败。
以管理员身份运行此命令,它将生成一个 NetTrace.cab 文件:
netsh trace stop
返回事件查看器并单击“将所有事件另存为...”导出 CAPI2 事件
分析
嗨,MichelZ,您的情况与其他情况不同。这是一次实际的、与网络无关的撤销失败。证书或 CRL 似乎存在配置错误。事件 42 出现,Call_CertIsValidCRLForCertificate 错误,表示“CRL 中的 IDP 对主题证书无效”。请参阅 http://technet.microsoft.com/en-us/library/cc749296(v=ws.10).aspx。
我们猜测,您的终端/叶证书中的证书分发点 (CDP) 字段不包含与 CRL 的颁发分发点 (IDP) 字段中相同的 URL。希望这能有所帮助。谢谢。
事实上,我查看了证书的 CRL CDP 和 CRL 的 IDP 字段:
CDP URL: http://some.host.com/pki/company Enterprise CA1 - G1.crl
IDP URL: http://some.host.com/pki/company%20Enterprise%20CA1%20-%20G1.crl
一只逃脱了,一只没有逃脱。
(礼貌这TechNet 论坛上的主题)
解决方案又名 TL;DR
在我的案例中,解决方案非常简单。我重新生成了 WSUS IIS 证书,它神奇地获得了正确的 CRL CDP URL。
实际上,它现在包含两个 URL:
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://some.host.com/pki/company Enterprise CA1 - G1.crl (http://some.host.com/pki/company%20Enterprise%20CA1%20-%20G1.crl)
此后,针对 WSUS 的扫描再次可以正常进行。