我已将一些testing主机更新到更新1( KB2919355 )。
现在,他们无法扫描WSUS( 0x80072F8F )
好的,简单的说吧! 微软修补了这个问题,并警告过这个问题 。
现在到更难的部分。 我的WSUS服务器在2012 R2上运行,并启用了TLS 1.2 – 我不应该受到影响。
即使是更奇怪的是,我已经安装了应该修正问题的更正的更新 。 为了安全起见,我尝试安装上述知识库文章中提到的更新KB2959977 。 结果:此更新已安装。
所以,我在这里亏本:)其他人有没有同样的问题? 有什么build议么? 微软搞砸了吗?
使用签名algorithmMD5或SHA512检查证书链中的证书。 TLS 1.2不再支持MD5。 TLS 1.2的Microsoft实现默认情况下不支持SHA512。 看一看:
这确实与证书有关。
在安装KB2919355 ,看起来似乎更加仔细地检查了证书,尤其是CRL。
我们必须使用以下方法来诊断:
通过以pipe理员身份运行这些命令来清除撤销caching
certutil.exe -urlcache * delete reg delete "HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" /v DisallowedCertEncodedCtl /f reg delete "HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" /v DisallowedCertLastSyncTime /fcertutil.exe -setreg chain\ChainCacheResyncFiletime @now net stop cryptsvc net stop wuauserv ipconfig /flushdns
以admin身份运行此命令启动networking跟踪:
netsh trace start scenario=InternetClient
从事件查看器启用CAPI2日志logging:
打开“事件查看器”
浏览到“应用程序和服务日志”> Microsoft> Windows> CAPI2> Operational。
右键点击目录树中的“操作”,select“启用日志”
使用UI(控制面板小程序或PC设置)对公共Windows Update进行扫描,并让其失败。
以admin身份运行此命令,它将生成一个NetTrace.cab文件:
netsh trace stop
返回到事件查看器并通过单击“将所有事件另存为…”导出CAPI2事件
你好MichelZ,你的情况和别人不一样。 这是一个实际的,与networking无关的撤销失败。 在证书或CRL上似乎存在configuration错误。 事件42在Call_CertIsValidCRLForCertificate上出现错误,表示“CRL中的IDP对于主题证书无效”。 请参阅http://technet.microsoft.com/en-us/library/cc749296(v=ws.10).aspx 。
我们的猜测是您的结束/叶证书中的证书分发点(CDP)字段不包含与CRL的颁发分发点(IDP)字段中的URL相同的URL。 希望这可以帮助。 谢谢。
事实上,我查看了证书的CRL CDP和CRL的IDP字段:
CDP URL: http://some.host.com/pki/company Enterprise CA1 - G1.crl IDP URL: http://some.host.com/pki/company%20Enterprise%20CA1%20-%20G1.crl
一个逃脱了,一个没有逃脱。
(在TechNet论坛上提供此线程)
我的解决scheme是非常简单的。 我重新生成了WSUS IIS证书,它神奇地得到了正确的CRL CDP URL。
其实它现在有两个URL:
[1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://some.host.com/pki/company Enterprise CA1 - G1.crl (http://some.host.com/pki/company%20Enterprise%20CA1%20-%20G1.crl)
在此之后,扫描WSUS再次完美地工作。