Gabimet e zakonshme në shabllonet e Windows: Shkaqet, Cilësimet dhe Zgjidhjet

  • Gabimi i shabllonit të Windows zakonisht lidhet me certifikatat e konfiguruara gabimisht.
  • Vlera e pasaktë e KeySpec mund të shkaktojë dështime në shërbime të tilla si AD FS dhe WAP.
  • Zgjidhja e problemit nuk kërkon rigjenerimin e certifikatave.
  • Ka komanda specifike për të vërtetuar dhe ndryshuar vlerën KeySpec.
Pablo

Minuta 5

Gabim i shabllonit të Windows

L Gabimet me shabllonet e konfigurimit në sistemet Windows mund të jenë për shkak të shumë shkaqeve, një nga më të shpeshtat është një konfigurim i gabuar në certifikatat e përdorura nga shërbime të tilla si Shërbimet e Federatës Active Directory (AD FS) ose Web Application Proxy (WAP). Këto lloje problemesh, zakonisht klasifikohen nën termin "Gabimi i shabllonit të Windows", shpesh pasqyrohen në mesazhe të paqarta ose mungesë të plotë të regjistrave të qartë të gabimeve, duke e bërë zgjidhjen të vështirë për administratorët e sistemit ose përdoruesit e avancuar.

Një nga shkaqet më të zakonshme të këtyre gabimeve lidhet me parametrin Specifikimi i çelësit (KeySpec) të certifikatave. Kjo veti përcakton nëse një çelës privat mund të përdoret për nënshkrim, deshifrim ose të dyja funksionet. Në varësi të vlerës së caktuar, përpjekjet për të krijuar lidhje të sigurta duke përdorur SSL/TLS ose për të hyrë në faqet e mbrojtura nga AD FS mund të dështojnë. Mund të shfaqen gjithashtu probleme që lidhen me gabimet e aktivizimit të Windows.

Çfarë e shkakton gabimin "model i Windows" në certifikata?

Vlera KeySpec përcakton përdorimin e çelësit brenda sistemeve që përdorin Microsoft Cryptographic API (CryptoAPI). Një vlerë e pasaktë mund të shkaktojë dështime të vërtetimit të certifikatës, duke ndërprerë shërbimet kritike. Në sistemet e vjetra që përdorin ofruesit tradicionalë kriptografikë (CSP), vlerat e vlefshme janë:

  • 1 (AT_KEYEXCHANGE): lejon nënshkrimin dhe enkriptimin.
  • 2 (AT_SIGNATURE): lejon vetëm nënshkrimin.

Në certifikatat e krijuara me ofrues modernë (CNG), kjo vlerë do të jetë gjithmonë 0, pasi ndarja midis nënshkrimit dhe enkriptimit nuk zbatohet në arkitekturën e tij.

Gabimi më i zakonshëm lind kur caktoni një vlerë prej 2 në një certifikatë që nuk është ekskluzivisht për nënshkrim. Për shembull, një certifikatë e përdorur për të deshifruar argumentet në AD FS duhet të vendoset në 1. Dështimi për ta bërë këtë mund të rezultojë në gabime të tilla si pamundësi për të krijuar lidhje SSL ose probleme identifikimi, pa mesazhe të qarta që e drejtojnë teknikun drejt burimit aktual të dështimit. Për më shumë detaje mbi çështjet e lidhjes, mund të lexoni se si të zgjidhni gabimet e rinisjes në Windows.

Pasojat e vlerës së gabuar KeySpec

Kur KeySpec nuk është vendosur saktë, sistemi mund të gjenerojë ngjarje gabimi në regjistra, siç është ngjarja 67 në zvarritjen e AD FS, që tregon për shembull një skedar të korruptuar SSO. Kjo manifestohet në dështime të përhershme që, në shumë raste, nuk lënë asnjë gjurmë të qartë përtej gabimeve të nivelit të ulët të regjistruar nga SChannel ose gjurmëve që nuk monitorohen gjithmonë në mënyrë aktive.

Si të verifikoni vlerën KeySpec në një certifikatë

Për të inspektuar vlerën KeySpec të një certifikate, Microsoft rekomandon përdorimin e mjetit të linjës së komandës certutil. run certutil –v –store my ofron një pamje të detajuar të certifikatave të instaluara. Brenda bllokut CERT_KEY_PROV_INFO_PROP_ID duhet të kontrolloni:

  • Lloji i ofruesit: Tregon nëse kjo është një certifikatë e vjetër (vlerë e ndryshme nga 0) ose CNG (vlera 0).
  • Specifikimi kryesor: Duhet të korrespondojë me qëllimin e certifikatës.

Vlerat e pritshme për lloje të ndryshme të certifikatave AD FS tregohen më poshtë:

Qëllimi i Certifikatës Valid KeySpec (CSP i trashëguar) Specifikimi i vlefshëm i çelësit (CNG)
Komunikimi i shërbimit 1 N / A
Deshifrimi i Tokenit 1 N / A
Nënshkrimi i Tokenit Ose 1 2 N / A
SSL 1 0

Hapat për të korrigjuar vlerën KeySpec pa lëshuar një certifikatë të re

Ju nuk keni nevojë të kërkoni një certifikatë të re për të modifikuar vlerën KeySpec. Kjo mund të rregullohet duke riimportuar certifikatën dhe çelësin e saj privat nga një skedar PFX. Hapat e rekomanduar janë:

  1. Kontrolloni dhe ruani lejet e çelësit aktual privat.
  2. Eksporto certifikatën dhe çelësin e saj në një skedar *.pfx.
  3. Në çdo server të përfshirë (AD FS ose WAP):
    1. Fshini certifikatën aktuale nga dyqani.
    2. Hapni PowerShell me privilegjet e administratorit.
    3. Drejtuar: certutil –importpfx certfile.pfx AT_KEYEXCHANGE
    4. Futni fjalëkalimin PFX nëse kërkohet.
  4. Kontrolloni përsëri lejet e çelësit privat.
  5. Rinisni shërbimet AD FS ose WAP sipas rastit.

Shkaqe të tjera që lidhen me gabimin "model i Windows".

Përveç vlerës KeySpec, Ka aspekte të tjera të konfigurimit që mund të shkaktojnë gabime në kërkesat për certifikatë. Një shembull është mesazhi: Kërkesë për analizimin e gabimeve – Emri i subjektit të kërkesës është i pavlefshëm ose shumë i gjatë, e zakonshme kur fusha "Emri i përbashkët" i subjektit tejkalon kufijtë e lejuar (zakonisht 64 karaktere).

Ky lloj gabimi mund të lidhet edhe me koincidencën e emrit të aplikantit me atë të autoritetit certifikues., diçka që nuk lejohet nga politikat e sigurisë. Është gjithashtu e mundur që informacioni identifikues të mos jetë përfshirë në aplikacion, gjë që gjithashtu shkakton gabime. Për të diagnostikuar gabime të ndryshme, të tilla si pamundësia për të hapur skedarët JPG në Windows, rekomandohet të eksportoni kërkesën për certifikatë dhe ta kontrolloni atë me certutil -asn archivo.req.

Ndryshimi i kufijve të gjatësisë për emrat përkatës të dalluar (RDN) në Windows është i mundur përmes cilësimeve të regjistrit:
certutil -setreg ca\EnforceX500NameLengths 0. Kjo mund të jetë e dobishme në mjediset ku kërkohet fleksibilitet shtesë, megjithëse duhet të theksohet se standardi i përbashkët PKI vendos kufizime strikte që mund të jenë të rëndësishme në kontekste të caktuara ndërveprueshmërie.

Së fundi, për të kontrolluar nëse ky kufizim është aktiv: certutil -getreg ca\EnforceX500NameLengths.

Këto lloj çështjesh nuk janë gjithmonë intuitive, pasi gabimi mund të shfaqet pa një mesazh të dukshëm në ndërfaqen e përdoruesit. Për shembull, një dështim për të vërtetuar me anë të ndërfaqes së formularëve WAP ose AD FS mund të jetë për shkak të këtyre shkaqeve pa u shfaqur asnjë mesazh, duke e komplikuar diagnozën. Çdo gabim mund të jetë i ndërlidhur me probleme të tjera të zakonshme të Windows, prandaj është thelbësore të kuptohet natyra e tyre.

Gabime në lidhje me "shabllonin e Windows" Ato zakonisht shkaktohen nga konfigurimi i gabuar i përdorimit të çelësit ose të dhënave të lëndës së certifikatës. Falë mjeteve si certutil dhe një njohuri e detajuar e parametrave të përfshirë, është e mundur të bëhen rregullime të sakta që shmangin këto dështime. Megjithëse mund të duken si çështje të vogla, ato ndikojnë drejtpërdrejt në besueshmërinë e sistemeve kritike dhe zgjidhja e shpejtë e tyre është jetike për ruajtjen e sigurisë dhe stabilitetit të mjedisit të Windows në mjediset e korporatave.

Gabim i rifillimit të Windows
Artikulli i lidhur:
Si të rregulloni gabimet e rifillimit të Windows hap pas hapi