Operations Lab.

KB2661254 の自動更新開始

leave a comment »

1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254: 証明書の鍵長の最小値に関する更新プログラム)が、10/10 (水)から自動更新の対象となります。

Windows Update 経由で更新プログラムを自動で適用する設定となっている場合、10/10 (水) (10月の定例セキュリティアップデートの日) 以降は、自動で更新プログラムのダウンロードと適用が行われます。

1024 ビット未満の証明書を利用しているシステムはあまり無いと思いますが、古いアプリケーションやシステムを利用している環境では、影響がないか確認が必要です。特に、古くから社内向けに PKI を構築している場合、サーバーだけでなくクライアントに配布している証明書なども確認をしておいた方がよいでしょう。

レジストリの値を変更し 1024 ビット未満のキーの長さを許可する

レジストリの設定を変更することで、更新プログラムの適用後も 1024 ビット未満のキーを利用する事が出来ます。

HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config

Windows Vista 及び Windows Server 2008 以降の OS であれば、certutil コマンドで設定を変更できます。それ以前の OS の場合は、レジストリを直接編集する必要があります。

MinRsaPubKeyBitLength の値が、許可される最小のキー長になります。値が存在しない場合の既定値は、1024 (1024bit 以上のキーを許可)です。512 bit のキーを許可する場合は、以下のコマンドを実行して MinRsaPubKeyBitLength に 512 を設定します。

certutil -setreg chain\minRSAPubKeyBitLength 512

これはあくまで暫定的な措置ですので、早めに 1024 bit 以上 (現状であれば 2048 bit 以上を推奨) の鍵へ更新した方が良いでしょう。

広告

Written by kazu

2012/09/26 @ 23:25

カテゴリー: Windows Client, Windows Server

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。