DetailPage-MSS-KB

Knowledge Base

Artikel ID: 2661254 - Laatste beoordeling: vrijdag 29 maart 2013 - Wijziging: 8.0

Op deze pagina

INLEIDING

Microsoft heeft een Microsoft-beveiligingsadvies voor IT-professionals uitgebracht. In dit advies wordt aangekondigd dat het gebruik van RSA-certificaten met een kleinere sleutel dan 1024 bits zullen worden geblokkeerd. Het beveiligingsadvies is te vinden op de volgende website van Microsoft:
http://technet.microsoft.com/en-us/security/advisory/2661254 (http://technet.microsoft.com/en-us/security/advisory/2661254)
Microsoft heeft een update, niet voor beveiliging, uitgebracht (KB 2661254) voor alle ondersteunde versies van Microsoft Windows om het risico op ongeoorloofde blootlegging van gevoelige informatie te verkleinen. Met deze update worden cryptografische sleutels die kleiner zijn dan 1024 bits geblokkeerd. Deze update is niet van toepassing op Windows 8 Release Preview en Windows Server 2012 Release Candidate omdat deze besturingssystemen al beschikken over de functionaliteit om het gebruik van zwakke RSA-sleutels die kleiner zijn dan 1024 bits te blokkeren.

Meer informatie

De kracht van cryptografische algoritmen voor openbare sleutels wordt bepaald door de tijd die het kost om de persoonlijke sleutels met agressieve methoden te kraken. Het algoritme wordt als sterk genoeg beschouwd als de tijd die het kost om de persoonlijke sleutels te kraken lang genoeg is bij gebruik van de beschikbare rekenkracht. Het niveau van de bedreigingen blijft groeien. Daarom breidt Microsoft het RSA-algoritme uit met criteria voor sleutels die kleiner zijn dan 1024 bits.

Deze update is alleen van invloed op certificaatketens die zijn gemaakt met de functie CertGetCertificateChain (http://msdn.microsoft.com/nl-nl/library/windows/desktop/aa376078.aspx) . Met CryptoAPI wordt een certificaatvertrouwensketen gemaakt die wordt gevalideerd met gebruik van geldigheidstijd, certificaatintrekking en beleidsinstellingen voor certificaten (zoals Beoogde doeleinden). Via deze update wordt een aanvullende controle geïmplementeerd om te waarborgen dat geen enkel certificaat in de keten een RSA-sleutel heeft die kleiner is dan 1024 bits.

Informatie over vervanging van updates

Deze update vervangt de volgende update:
2677070  (http://support.microsoft.com/kb/2677070/nl/ ) Er is een programma beschikbaar om ingetrokken certificaten automatisch bij te werken in Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2

Bekende problemen met deze beveiligingsupdate

Nadat u deze update hebt toegepast:
  • De computer moet opnieuw worden opgestart.
  • Een certificeringsinstantie (CA) kan geen RSA-certificaten met een kleinere sleutel dan 1024 bits verlenen.
  • De CA-service (certsvc) kan niet worden gestart wanneer de CA een RSA-certificaat met een kleinere sleutel dan 1024 bits gebruikt.
  • In Internet Explorer wordt geen toegang geboden tot websites die zijn beveiligd met een RSA-certificaat met een kleinere sleutel dan 1024 bits.
  • Outlook 2010 kan niet worden gebruikt om e-mail te coderen bij gebruik van een RSA-certificaat met een kleinere sleutel dan 1024 bits. E-mail die reeds is gecodeerd met een RSA-certificaat met een kleinere sleutel dan 1024 bits, kan na installatie van de update echter wel worden gedecodeerd.
  • Outlook 2010 kan niet worden gebruikt om e-mail digitaal te ondertekenen bij gebruik van een RSA-certificaat met een kleinere sleutel dan 1024 bits.
  • Wanneer in Outlook 2010 e-mail wordt ontvangen die een digitale handtekening bevat of is gecodeerd met een RSA-certificaat met een kleinere sleutellengte dan 1024 bits, wordt het foutbericht weergegeven dat het certificaat niet-vertrouwd is. De gebruiker kan de gecodeerde of ondertekende e-mail echter nog wel weergeven.
  • In Outlook 2010 kan geen verbinding worden gemaakt met een Microsoft Exchange-server waarop voor SSL/TLS een RSA-certificaat wordt gebruikt met een kleinere sleutel dan 1024 bits. De volgende fout wordt weergegeven: 'Informatie die u met deze website uitwisselt, kan niet door anderen worden weergegeven of aangepast. Er is echter sprake van een probleem met het beveiligingscertificaat van de website. Dit beveiligingscertificaat is niet geldig. Deze website wordt niet vertrouwd.'
  • Er worden beveiligingswaarschuwingen over een 'Onbekende uitgever' weergegeven. In de volgende gevallen kan de installatie echter gewoon worden vervolgd:
    • Er worden Authenticode-handtekeningen aangetroffen met een tijdsstempel van 1 januari 2010 of later die zijn ondertekend met een RSA-certificaat met een kleinere sleutel dan 1024 bits.
    • Er worden installatieprogramma's aangetroffen die zijn ondertekend met een RSA-certificaat met een kleinere sleutel dan 1024 bits.
    • Er worden ActiveX-besturingselementen aangetroffen die zijn ondertekend met een RSA-certificaat met een kleinere sleutel dan 1024 bits. Deze update heeft geen invloed op Active X-besturingselementen die al vóór de installatie van deze update waren geïnstalleerd.
  • Op computers met System Center HP-UX PA-RISC waarop een RSA-certificaat met een sleutel van 512 bits wordt gebruikt, worden Heartbeat-signalen weergegeven en mislukken alle Operation Manager-controles van de computers. Verder wordt er een SSL-certificaatfout weergegeven dat ondertekende certificaten worden gecontroleerd. Ook zullen er via Operations Manager geen nieuwe HP-UX PA-RISC-computers worden ontdekt vanwege een fout die optreedt tijdens de controle van ondertekende certificaten. System Center-klanten met HP-UX PA-RISC-computers wordt geadviseerd RSA-certificaten opnieuw te verlenen met sleutels van minimaal 1024 bits. Ga naar de volgende TechNet-webpagina voor meer informatie:
    Belangrijk Op HP-UX PA-RISC-computers die worden gecontroleerd door Operations Manager zullen na de installatie van een aankomende Windows-update Heartbeat- en controlefouten optreden. (http://blogs.technet.com/b/momteam/archive/2012/08/01/important-hp-ux-pa-risc-computers-monitored-by-operations-manager-will-experience-heartbeat-and-monitoring-failures-after-an-upcoming-windows-update.aspx)
Opmerking Deze update heeft geen invloed op EFS-codering.

RSA-certificaten met een kleinere sleutel dan 1024 bits opsporen

Er zijn vier hoofdmethoden om na te gaan of er RSA-certificaten met een kleinere sleutel dan 1024 bits in gebruik zijn:
  • Certificaten en certificeringspaden handmatig controleren
  • CAPI2-logboekregistratie gebruiken
  • Certificaatsjablonen controleren
  • Logboekregistratie inschakelen op computers waarop de update is geïnstalleerd

Certificaten en certificeringspaden handmatig controleren

U kunt certificaten handmatig controleren door deze te openen en het type, de sleutellengte en het certificeringspad te bekijken. U kunt dit doen door elk intern verleende certificaat weer te geven (gewoonlijk door erop te dubbelklikken). Klik op het tabblad Certificeringspad op Certificaat weergeven voor elk certificaat in de keten om te controleren of alle RSA-certificaten een sleutel van minimaal 1024 bits hebben.

Het certificaat in de volgende afbeelding is bijvoorbeeld verleend aan een domeincontroller (2003DC.adatum.com) van ondernemingsbasiscertificeringsinstantie AdatumRootCA. U kunt het certificaat AdatumRootCA selecteren op het tabblad Certificeringspad.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Tabblad Certificeringspad


Klik op Certificaat weergeven om het certificaat AdatumRootCA weer te geven. Selecteer in het deelvenster Details het veld Openbare sleutel om de sleutelgrootte weer te geven zoals in de volgende afbeelding.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Certificaat weergeven


Het RSA-certificaat voor AdatumRootCA in dit voorbeeld is 2048 bits.

CAPI2-logboekregistratie gebruiken

Op computers met Windows Vista, Windows Server 2008 of latere versies van Windows kunt u CAPI2-logboekregistratie gebruiken om na te gaan welke sleutels kleiner zijn dan 1024 bits. Er kunt de computers vervolgens gewoon laten werken en later in het logboek opzoeken of er sleutels zijn die kleiner zijn dan 1024 bits. Vervolgens kunt u die informatie gebruiken om de bronnen van de certificaten te vinden en de benodigde wijzigingen aan te brengen.

Hiervoor moet u eerst uitgebreide diagnostische logboekregistratie inschakelen. Ga als volgt te werk om uitgebreide logboekregistratie in te schakelen:

1. Open de Register-editor (Regedit.exe).

2. Ga naar de volgende registersleutel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\crypt32


3. Voeg de DWORD-waarde (32-bits) DiagLevel toe met de waarde 0x00000005.

4. Voeg de QWORD-waarde (64-bits) DiagMatchAnyMask toe met de waarde 0x00ffffff.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
DiagMatchAnyMask


Vervolgens kunt u in Logboeken operationele CAPI2-logboekregistratie inschakelen. Operationele CAPI2-logboekregistratie bevindt zich in Logboeken onder Logboeken Toepassingen en Services, Microsoft, Windows en CAPI2. Klik met de rechtermuisknop op het logboek Operational, klik op Registratie inschakelen en klik vervolgens op Huidig logboek filteren om logboekregistratie in te schakelen. Klik op het tabblad XML en schakel het selectievakje Zoekopdracht handmatig bewerken in.
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Registratie inschakelen


Nadat u het logboek hebt verzameld kunt u het volgende filter gebruiken om het aantal vermeldingen te beperken die u moet controleren op certificaatbewerkingen met kleinere sleutels dan 1024 bits. Met het volgende filter zoekt u naar sleutels van 512 bits.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Huidig logboek filteren


U kunt met een enkele query ook meerdere sleutellengten opvragen. Met het volgende filter zoekt u bijvoorbeeld naar sleutels van 384 bits en 512 bits.

<QueryList>

<Query Id="0" Path="Microsoft-Windows-CAPI2/Operational">

<Select Path="Microsoft-Windows-CAPI2/Operational">Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='384']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]] or Event[UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyLength='512']]]]] and UserData[CertGetCertificateChain[CertificateChain[ChainElement[PublicKeyAlgorithm[@publicKeyName='RSA']]]]]]</Select>

</Query>

</QueryList>

Certificaatsjablonen controleren

U kunt de volgende query uitvoeren op uw CA's om certificaatsjablonen te vinden met kleinere sleutels dan 1024 bits:

certutil -dstemplate | findstr "[ msPKI-Minimal-Key-Size" | findstr /v "1024 2048 4096"

Opmerking U moet de opdracht uitvoeren in elke forest in uw organisatie.

Als u deze query uitvoert, worden sjablonen met kleinere sleutels dan 1024 bits weergegeven met hun sleutelgrootte. In de volgende afbeelding is te zien dat twee van de ingebouwde sjablonen, Smartcardaanmelding en Smartcardgebruiker, standaard een minimale sleutelgrootte van 512 bits hebben. Mogelijk zijn er nog meer sjablonen die zijn gedupliceerd met kleinere minimale sleutelgrootten dan 1024 bits.

Voor elk aangetroffen sjabloon waarvoor kleinere sleutels dan 1024 bits zijn toegestaan, moet u bepalen of het mogelijk is certificaten te verlenen zoals weergegeven in de sectie Certificaatsjablonen van de console Certificeringsinstantie.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Sectie Certificaatsjablonen


Logboekregistratie inschakelen op computers waarop de update is geïnstalleerd

Met registerinstellingen kunt u RSA-certificaten met kleinere sleutels dan 1024 bits opsporen op computers waarop de update is toegepast. De optie om logboekregistratie te implementeren wordt beschreven in de sectie Oplossingen, omdat deze optie nauw samenhangt met de registerinstellingen waarmee kleinere sleutels dan 1024 bits kunnen worden toegestaan. Zie de sectie 'Kleinere sleutels dan 1024 bits toestaan via registerinstellingen" verderop in dit artikel voor meer informatie over het inschakelen van logboekregistratie.

Oplossingen

Elk probleem dat te maken heeft met het blokkeren van een certificaat met een kleinere sleutel dan 1024 bits kan primair worden opgelost door een groter certificaat (met een sleutel van 1024 bits of groter) te implementeren. We raden gebruikers aan certificaten met een sleutel van minimaal 2048 bits te implementeren.

De sleutelgrootte verhogen van certificaten die zijn verleend via automatische certificaatinschrijving

Voor sjablonen waarmee RSA-certificaten zijn verleend met kleinere sleutels dan 1024 bits is het raadzaam de minimale sleutelgrootte in te stellen op ten minste 1024 bits. Hierbij wordt ervan uitgegaan dat de apparaten waarvoor deze certificaten worden verleend, grotere sleutels ondersteunen.

Nadat u de minimale sleutelgrootte hebt verhoogd, zorgt u er met de optie Alle certificaathouders opnieuw inschrijven in de Certificaatsjablonenconsole voor dat de clientcomputers zich opnieuw inschrijven en een grotere sleutel aanvragen.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Smartcardaanmelding


Als u certificaten hebt verleend via de ingebouwde sjablonen Smartcardaanmelding of Smartcardgebruiker, kunt u de minimale sleutelgrootte van de sjabloon niet rechtstreeks wijzigen. In plaats daarvan moet u de sjabloon dupliceren, de sleutelgrootte van de gedupliceerde sjabloon verhogen en vervolgens de oorspronkelijke sjabloon vervangen door de gedupliceerde sjabloon (http://technet.microsoft.com/nl-nl/library/cc753044.aspx) .

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Bijgewerkte eigenschappen van Smartcardaanmelding


Nadat u de sjabloon hebt vervangen, zorgt u er via de optie Alle certificaathouders opnieuw inschrijven voor dat de clientcomputers zich opnieuw inschrijven en een grotere sleutel aanvragen.

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Alle certificaathouders opnieuw inschrijven


Kleinere sleutels dan 1024 bits toestaan via registerinstellingen

Microsoft raadt klanten aan geen kleinere certificaten dan 1024 bits te gebruiken. Terwijl een oplossing voor op de lange termijn wordt ontwikkeld, kunnen klanten kunnen echter een tijdelijke oplossing nodig hebben om RSA-certificaten met een kleinere sleutel dan 1024 bits te vervangen. In deze gevallen biedt Microsoft klanten de mogelijkheid de wijze van functioneren van de update te wijzigen. Klanten die deze instellingen configureren, lopen het risico dat een aanvaller hun certificaten kraakt en deze gebruikt om inhoud te vervalsen, phishingaanvallen uit te voeren of Man-in-the-Middle-aanvallen uit te voeren.

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756   (http://support.microsoft.com/kb/322756 /nl/ ) Back-ups van het register maken en het register terugzetten in Windows
Op computers met Windows 8 of Windows Server 2012 waarop de update is toegepast, kunnen het volgende registerpad en de volgende registerinstellingen worden gebruikt om de detectie en blokkering van RSA-certificaten met een kleinere sleutel dan 1024 bits te beheren.

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Er zijn vier hoofdwaarden waarmee de blokkering van kleinere sleutels dan 1024 bits wordt geregeld. Deze waarden zijn:
  • MinRsaPubKeyBitLength
  • EnableWeakSignatureFlags
  • WeakSignatureLogDir
  • WeakRsaPubKeyTime
Deze waarden worden in de volgende secties beschreven.

Voor besturingssystemen vanaf Windows Vista en Windows Server 2008 kunt u certutil-opdrachten gebruiken om deze registerinstellingen te wijzigen. In Windows XP, Windows Server 2003 en Windows Server 2003 R2 kunt u geen certutil-opdrachten gebruiken om deze registerinstellingen te wijzigen. U kunt echter wel de Register-editor, de opdracht reg of het REG-bestand gebruiken.

MinRsaPubKeyBitLength

MinRsaPubKeyBitLength is een DWORD-waarde die de minimale RSA-sleutellengte aangeeft. Deze waarde is standaard niet aanwezig, en de minimale RSA-sleutellengte is 1024. U kunt deze waarde met de volgende certutil-opdracht instellen op 512:

certutil -setreg chain\minRSAPubKeyBitLength 512

Opmerking Voor alle certutil-opdrachten in dit artikel zijn beheerdersbevoegdheden nodig omdat u er het register mee wijzigt. U kunt het bericht 'Mogelijk moet u de service CertSvc opnieuw starten voordat de wijzigingen van kracht worden' negeren. Dat is niet vereist voor deze opdrachten omdat de opdrachten geen invloed hebben op de certificaatservice (CertSvc).

U kunt teruggaan naar het blokkeren van sleutels die kleiner zijn dan 1024 bits door de waarde te verwijderen. Voer hiertoe de volgende certutil-opdracht uit:

certutil -delreg chain\MinRsaPubKeyBitLength

EnableWeakSignatureFlags

De DWORD-waarde EnableWeakSignatureFlags heeft de volgende mogelijke waarden: 2, 4, 6 en 8. Met deze instellingen wijzigt u de werking van de detectie en blokkering van kleinere sleutels dan 1024 bits. Deze instellingen worden beschreven in de volgende tabel:
Deze tabel samenvouwenDeze tabel uitklappen
Decimale waardeBeschrijving
2Wanneer deze waarde is ingeschakeld, mag het basiscertificaat (tijdens het opbouwen van de keten) een RSA-certificaat met een kleinere sleutel dan 1024 bits hebben. RSA-certificaten lager in de keten worden nog steeds geblokkeerd (als deze certifcaten een kleinere sleutel hebben dan 1024 bits). Als deze waarde wordt ingesteld, wordt de vlag CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG ingeschakeld.
4Met deze waarde wordt logboekregistratie ingeschakeld, maar worden RSA-certificaten met kleinere sleutels dan 1024 bits nog steeds geblokkeerd. Wanneer deze waarde is ingeschakeld, is WeakSignatureLogDir vereist. Alle aangetroffen kleinere sleutels dan 1024 bits worden gekopieerd naar de fysieke map WeakSignatureLogDir. Als deze waarde wordt ingesteld, wordt de vlag CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG ingeschakeld.
6Wanneer deze waarde wordt ingesteld, mag het basiscertificaat een RSA-certificaat met een kleinere sleutel dan 1024 bits hebben en is WeakSignatureLogDir vereist. Alle sleutels onder het basiscertificaat met kleinere sleutels dan 1024 bits worden geblokkeerd en geregistreerd in de map die is gedefinieerd als WeakSignatureLogDir.
8Met deze waarde schakelt u logboekregistratie in en worden kleinere sleutels dan 1024 bits niet geblokkeerd. Wanneer deze waarde is ingeschakeld, is WeakSignatureLogDir vereist. Alle aangetroffen kleinere sleutels dan 1024 bits worden gekopieerd naar de fysieke map WeakSignatureLogDir. Als deze waarde wordt ingesteld, wordt de vlag CCERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG ingeschakeld.

Voorbeelden

Gebruik de volgende certutil-opdracht om een RSA-basiscertificaat met een kleinere sleutel dan 1024 bits toe te staan:

certutil -setreg chain\EnableWeakSignatureFlags 2

Gebruik de volgende certutil-opdracht om logboekregistratie in te schakelen en certificaten met een kleinere sleutel dan 1024 bits te blijven blokkeren:

certutil -setreg chain\EnableWeakSignatureFlags 4

Gebruik de volgende certutil-opdracht om uitsluitend logboekregistratie in te schakelen voor RSA-certificaten onder het basiscertificaat met een kleinere sleutel dan 1024 bits:

certutil -setreg chain\EnableWeakSignatureFlags 6

Gebruik de volgende certutil-opdracht om logboekregistratie in te schakelen en certificaten met een kleinere sleutel dan 1024 bits niet te blokkeren:

certutil -setreg chain\EnableWeakSignatureFlags 8

Opmerking Wanneer u logboekregistratie inschakelt (decimale instelling 4, 6 of 8), moet u ook een logboekmap instellen zoals beschreven in de volgende sectie.

WeakSignatureLogDir

Als deze map is gedefinieerd, worden certificaten met een kleinere sleutel dan 1024 bits daarin geplaatst. U kunt deze waarde bijvoorbeeld instellen op C:\Under1024KeyLog. Deze optie is vereist als EnableWeakSignatureFlags wordt ingesteld op 4 of 8. Stel de beveiliging voor deze map zodanig in dat zowel Geverifieerde gebruikers als de lokale groep Alle toepassingspakketten aanpassingstoegang hebben. Gebruik de volgende certutil-opdracht om de waarde in te stellen op C:\Under1024KeyLog:

Certutil -setreg chain\WeakSignatureLogDir "c:\Under1024KeyLog"

U kunt WeakSignatureLogDir ook instellen op een gedeelde netwerkmap. Zorg dat u de juiste machtigingen voor de netwerklocatie hebt ingesteld, zodat alle ingestelde gebruikers in de gedeelde map mogen schrijven. Met de volgende voorbeeldopdracht stelt u WeakSignatureLogDir in op schrijven in de map Keys die zich bevindt in de netwerkmap RSA van Server1:

Certutil -setreg chain\WeakSignatureLogDir "\\server1\rsa\keys"

WeakRsaPubKeyTime

WeakRsaPubKeyTime is een REG_BINARY-waarde van 8 byte die een Windows-gegevenstype FILETIME bevat die wordt opgeslagen als UTC/GMT. Deze waarde is voornamelijk beschikbaar om problemen te beperken die kunnen ontstaan door het blokkeren van kleinere sleutels dan 1024 bits voor Authenticode-handtekeningen. Certificaten waarmee code van vóór de ingestelde datum en tijd wordt ondertekend, worden niet gecontroleerd op kleinere sleutels dan 1024 bits. Standaard is deze registerwaarde niet aanwezig en wordt deze beschouwd als 1 januari 2010 middernacht UTC/GMT.

Opmerking Deze instelling is alleen van toepassing als een certificaat is gebruikt om een bestand met een tijdsstempel van een Authenticode-handtekening te voorzien. Als de code geen tijdsstempel bevat, wordt de huidige tijd gebruikt en wordt de WeakRsaPubKeyTime-instelling niet gebruikt.

Met de WeakRsaPubKeyTime-instelling kunt u een datum instellen waarop oudere handtekeningen als geldig moeten worden beschouwd. Als u een reden hebt om een andere datum en tijd in te stellen voor WeakRsaPubKeyTime, kunt u certutil gebruiken om een andere datum in te stellen. Als u de datum bijvoorbeeld wilt instellen op 29 augustus 2010, kunt u de volgende opdracht gebruiken:

certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010

Als u een specifieke tijd wilt instellen, bijvoorbeeld 18:00 uur op 4 juli 2011, voegt u het aantal dagen en uren in de notatie +[dd:uu] toe aan de opdracht. Omdat het om 18:00 uur 18 uur na middernacht op 4 juli 2011 is, is de juiste opdracht als volgt:

certutil -setreg chain\WeakRsaPubKeyTime @01/15/2011+00:18

Certificaten instellen in IIS (Internet Information Services)

Raadpleeg de volgende artikelen als u een IIS-klant bent en u nieuwe certificaten moet verlenen die 1024 bits of langer zijn:
SSL instellen in IIS 7 (http://learn.iis.net/page.aspx/144/how-to-set-up-ssl-on-iis/)
SSL en certificaten in IIS 6 (http://technet.microsoft.com/nl-nl/library/cc785150(v=ws.10))

Oplossing

U kunt de volgende bestanden downloaden via het Microsoft Downloadcentrum:


Voor alle ondersteunde x86-versies van Windows XP

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30503)

Voor alle ondersteunde x64-versies van Windows XP Professional x64 Edition

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/en-us/download/details.aspx?id=30494)

Voor alle ondersteunde x86-versies van Windows Server 2003

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30488)

Voor alle ondersteunde x64-versies van Windows Server 2003

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/en-us/download/details.aspx?id=30481)

Voor alle ondersteunde IA-64-versies van Windows Server 2003

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/en-us/download/details.aspx?id=30493)

Voor alle ondersteunde x86-versies van Windows Vista

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30484)

Voor alle ondersteunde x64-versies van Windows Vista

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30483)

Voor alle ondersteunde x86-versies van Windows Server 2008

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30507)

Voor alle ondersteunde x64-versies van Windows Server 2008

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30499)

Voor alle ondersteunde IA-64-versies van Windows Server 2008

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/en-us/download/details.aspx?id=30506)

Voor alle ondersteunde x86-versies van Windows 7

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30496)

Voor alle ondersteunde x64-versies van Windows 7

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30491)

Voor alle ondersteunde x64-versies van Windows Server 2008 R2

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30487)

Voor alle ondersteunde IA-64-versies van Windows Server 2008 R2

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/en-us/download/details.aspx?id=30495)

Voor alle ondersteunde x86-versies van Windows Embedded Standard 7

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30498)

Voor alle ondersteunde x64-versies van Windows Embedded Standard 7

Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket nu downloaden. (http://www.microsoft.com/nl-nl/download/details.aspx?id=30486)

Releasedatum: 14 augustus 2012

Klik op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven voor meer informatie over hoe u Microsoft-ondersteuningsbestanden kunt downloaden:
119591  (http://support.microsoft.com/kb/119591/nl/ ) Microsoft-ondersteuningsbestanden downloaden via online services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is opgeslagen op beveiligde servers om onbevoegde wijzigingen aan het bestand te voorkomen.

Bestandsgegevens

Klik op de volgende koppeling voor een lijst met bestanden die in deze pakketten zijn opgenomen:
Tabellen met bestandsgegevens voor beveiligingsupdate 2661254.csv (http://download.microsoft.com/download/B/9/0/B90AA12B-6E13-4B35-BCCB-448BEB6FCD05/File attributes tables for security update 2661254.csv)

De informatie in dit artikel is van toepassing op:
  • Windows 7 Service Pack 1 op de volgende platformen
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 op de volgende platformen
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 op de volgende platformen
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Vista Service Pack 2 op de volgende platformen
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1 op de volgende platformen
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 op de volgende platformen
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Trefwoorden: 
kbsecadvisory atdownload kbbug kbexpertiseinter kbfix kbsecurity kbsecvulnerability KB2661254
Delen
Extra ondersteuningsopties
Microsoft Community Support-forums
Neem rechtstreeks contact met ons op
Een door Microsoft gecertificeerde partner zoeken
Microsoft Store