SSL/TLS-Kommunikationsprobleme nach der Installation von KB 931125
Dieser Artikel enthält eine Lösung für SSL/TLS-Kommunikationsprobleme, die auftreten, nachdem Sie KB 931125 installiert haben.
Gilt für: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2801679
Problembeschreibung
Nach dem 11. Dezember 2012 schlagen Anwendungen und Vorgänge, die von TLS-basierten Authentifizierungen abhängig sind, möglicherweise plötzlich fehl, obwohl sie keine offensichtlichen Konfigurationsänderungen aufweisen. Einige der Anwendungen und Vorgänge, die möglicherweise fehlschlagen, umfassen folgende Anwendungen und Vorgänge, die jedoch nicht beschränkt sind:
- Drahtloser Netzwerkzugriff, der zertifikatbasierte Authentifizierung verwendet
- Verkabelter Netzwerkzugriff, der zertifikatbasierte Authentifizierung verwendet
- Clientkonnektivität mit Lync oder Office Communications Server
- Voicemail, die Exchange Server zusammen mit Unified Messaging verwendet
- SSL-aktivierter Websitezugriff
- Outlook-Anmeldungen
- Verzögerungen beim Starten des Betriebssystems (langsamer Start)
- Verzögerungen bei der Benutzeranmeldung (langsame Anmeldung)
Ereignisse, die in Windows oder in anwendungsspezifischen Ereignisprotokollen protokolliert werden und die entweder das in diesem Artikel behandelte Symptom betreffen oder endgültig identifizieren, umfassen ereignisse, die in der folgenden Tabelle aufgeführt sind, aber nicht darauf beschränkt sind.
| Ereignisprotokoll | Ereignisquelle | Ereignis-ID | Ereignistext |
|---|---|---|---|
| System | Schannel | 36885 | Bei der Clientauthentifizierung sendet dieser Server eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das vom Server als vertrauenswürdig eingestuft wird. Derzeit vertraut dieser Server so vielen Zertifizierungsstellen, dass die Liste zu lang geworden ist. Diese Liste wurde daher abgeschnitten. Der Administrator dieses Computers sollte die Für die Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, denen nicht wirklich vertraut werden muss. |
| System | Schannel | 36887 | Die folgende schwerwiegende Warnung wurde empfangen: 47 |
| System | NapAgent | 39 | Der Netzwerkzugriffsschutz-Agent konnte nicht ermitteln, von welchen HRAs ein Integritätszertifikat angefordert werden soll. Eine Netzwerkänderung oder wenn GP konfiguriert ist, fordert eine Konfigurationsänderung weitere Versuche zum Abrufen eines Integritätszertifikats auf. Andernfalls werden keine weiteren Versuche unternommen. Wenden Sie sich an den HRA-Administrator, um weitere Informationen zu erfahren. |
| System | RemoteAccess | 20225 | Der folgende Fehler ist im Point to Point Protocol-Modul am Port aufgetreten: VPN2-509, Benutzername: <Benutzername>. Die Verbindung wurde aufgrund einer auf Ihrem RAS/VPN-Server konfigurierten Richtlinie verhindert. Insbesondere die Authentifizierungsmethode, die vom Server verwendet wird, um Ihren Benutzernamen und Ihr Kennwort zu überprüfen, stimmt möglicherweise nicht mit der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode überein. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie sie über diesen Fehler. |
| System | RemoteAccess | 20271 | Der Benutzername des Benutzers<>, der über <die IP-Adresse> verbunden ist, aber ein Authentifizierungsversuch aufgrund des folgenden Grunds fehlgeschlagen ist: Die Verbindung wurde aufgrund einer richtlinie, die auf Ihrem RAS/VPN-Server konfiguriert wurde, verhindert. Insbesondere die Authentifizierungsmethode, die vom Server verwendet wird, um Ihren Benutzernamen und Ihr Kennwort zu überprüfen, stimmt möglicherweise nicht mit der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode überein. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie sie über diesen Fehler. |
Ursache
Diese Probleme können auftreten, wenn Sie Ihre Stammzertifizierungsstellen von Drittanbietern mithilfe des Updatepakets vom Dezember 2012 KB 931125 aktualisiert haben. Das KB-931125 Paket, das am 11. Dezember 2012 veröffentlicht wurde, war nur für Client-SKUs vorgesehen. Es wurde jedoch auch für Server-SKUs für kurze Zeit auf Windows Update und WSUS angeboten.
Dieses Paket hat mehr als 330 Stammzertifizierungsstellen von Drittanbietern installiert. Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die vom Schannel-Sicherheitspaket unterstützt wird, 16 KB. Eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern überschreitet den Grenzwert von 16 Kb, und Es treten TLS/SSL-Kommunikationsprobleme auf.
Lösung
Wenn Sie WSUS verwenden und das Update vom Dezember 2012 KB nicht 931125 installiert haben, sollten Sie Ihre WSUS-Server synchronisieren und dann die Ablaufzeiten genehmigen, damit die Server das Update nicht installieren.
Wenn Sie das Updatepaket vom Dezember 2012 KB 931125 installiert haben, sollten Sie die folgende Lösung verwenden, um zusätzliche Stammzertifizierungsstellen von Drittanbietern auf allen Servern zu entfernen, die jetzt über eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern verfügen.
Hinweis
Mit dieser Lösung werden alle Stammzertifizierungsstellen von Drittanbietern entfernt. Wenn Ihr Server über Eine Verbindung mit Windows Update verfügt, werden bei Bedarf automatisch Stammzertifizierungsstellen von Drittanbietern hinzugefügt, wie auch in KB 931125 erläutert. Wenn ein betroffener Server isoliert oder vom Internet getrennt ist, müssen Sie die erforderlichen Stammzertifizierungsstellen von Drittanbietern manuell wie bisher hinzufügen. (Oder Sie können sie mithilfe von Gruppenrichtlinie installieren.)
Löschen Sie den folgenden Registrierungsschlüssel, um dieses Problem zu beheben:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Gehen Sie dazu wie folgt vor:
- Starten des Registrierungs-Editors
- Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Klicken Sie mit der rechten Maustaste, und löschen Sie dann den Schlüssel namens "Zertifikate".
Hinweis
Stellen Sie sicher, dass Sie eine Sicherung der Registrierung und der betroffenen Schlüssel vornehmen, bevor Sie Änderungen an Ihrem System vornehmen.
Weitere Informationen
Diese Probleme können auftreten, wenn ein TLS/SSL-Server viele Einträge in der vertrauenswürdigen Stammzertifizierungsliste enthält. Der Server sendet eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client, wenn die folgenden Bedingungen erfüllt sind:
- Der Server verwendet das TLS-/SSL-Protokoll (Transport Layer Security) zum Verschlüsseln des Netzwerkdatenverkehrs.
- Clientzertifikate sind für die Authentifizierung während des Authentifizierungs-Handshake-Prozesses erforderlich.
Diese Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Behörden dar, von denen der Server ein Clientzertifikat akzeptieren kann. Um vom Server authentifiziert zu werden, muss der Client über ein Zertifikat verfügen, das in der Kette von Zertifikaten zu einem Stammzertifikat aus der Liste des Servers vorhanden ist. Dies liegt daran, dass das Clientzertifikat immer das Endentitätszertifikat am Ende der Kette ist. Das Clientzertifikat ist nicht Teil der Kette.
Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 KB in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012.
Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen, indem der Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf dem lokalen Computer durchsucht wird. Jedes Zertifikat, das für Clientauthentifizierungszwecke vertrauenswürdig ist, wird der Liste hinzugefügt. Wenn die Größe dieser Liste 16 KB überschreitet, protokolliert Schannel die Warnungsereignis-ID 36855. Anschließend schneidet Schannel die Liste der vertrauenswürdigen Stammzertifikate ab und sendet diese abgeschnittene Liste an den Clientcomputer.
Wenn der Clientcomputer die abgeschnittene Liste der vertrauenswürdigen Stammzertifikate empfängt, verfügt der Clientcomputer möglicherweise nicht über ein Zertifikat, das in der Kette eines vertrauenswürdigen Zertifikatherausgebers vorhanden ist. Beispielsweise kann der Clientcomputer über ein Zertifikat verfügen, das einem vertrauenswürdigen Stammzertifikat entspricht, das Schannel aus der Liste der vertrauenswürdigen Zertifizierungsstellen abgeschnitten hat. Daher kann der Server den Client nicht authentifizieren.