Freigeben über


Ssl-/TLS-Kommunikationsprobleme nach der Installation von KB-931125

Dieser Artikel bietet eine Lösung für SSL-/TLS-Kommunikationsprobleme, die nach der Installation von KB-931125 auftreten.

Ursprüngliche KB-Nummer: 2801679

Symptome

Nach dem 11. Dezember 2012 können Anwendungen und Vorgänge, die von TLS-basierten Authentifizierungen abhängig sind, plötzlich fehlschlagen, obwohl sie keine offensichtlichen Konfigurationsänderungen aufweisen. Einige der Anwendungen und Vorgänge, die möglicherweise fehlschlagen, umfassen, sind jedoch nicht beschränkt auf die folgenden:

  • Drahtlosnetzwerkzugriff mit zertifikatbasierter Authentifizierung
  • Kabelgebundener Netzwerkzugriff mit zertifikatbasierter Authentifizierung
  • Clientkonnektivität mit Lync oder Office Communications Server
  • Voicemail, die Exchange Server zusammen mit Unified Messaging verwendet
  • SSL-fähiger Websitezugriff
  • Outlook-Anmeldungen
  • Verzögerungen beim Starten des Betriebssystems (langsamer Start)
  • Verzögerungen bei Der Benutzeranmeldung (langsame Anmeldung)

Ereignisse, die in Windows oder in anwendungsspezifischen Ereignisprotokollen protokolliert werden und die das in diesem Artikel behandelte Symptom entweder umfassen oder definitiv identifizieren, enthalten ereignisse, die in der folgenden Tabelle aufgeführt sind, aber nicht beschränkt auf.

Ereignisprotokoll Ereignisquelle Ereignis-ID Ereignistext
System Schannel 36885 Wenn Sie die Clientauthentifizierung anfordern, sendet dieser Server eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das vom Server als vertrauenswürdig eingestuft wird. Derzeit vertraut dieser Server so vielen Zertifizierungsstellen, dass die Liste zu lang geworden ist. Diese Liste wurde daher abgeschnitten. Der Administrator dieses Computers sollte die für die Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen.
System Schannel 36887 Die folgende schwerwiegende Warnung wurde empfangen: 47
System NapAgent 39 Der Netzwerkzugriffsschutz-Agent konnte nicht ermitteln, von welchen HRAs ein Integritätszertifikat angefordert werden soll. Eine Netzwerkänderung oder wenn GP konfiguriert ist, fordert eine Konfigurationsänderung weitere Versuche auf, ein Integritätszertifikat zu erhalten. Andernfalls werden keine weiteren Versuche unternommen. Wenden Sie sich an den HRA-Administrator, um weitere Informationen zu erfahren.
System RemoteAccess 20225 Der folgende Fehler ist im Modul Point-to-Point-Protokoll am Port aufgetreten:
VPN2-509, UserName: <username>. Die Verbindung wurde aufgrund einer auf Ihrem RAS-/VPN-Server konfigurierten Richtlinie verhindert. Insbesondere die Authentifizierungsmethode, die vom Server zum Überprüfen Ihres Benutzernamens und Kennworts verwendet wird, entspricht möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie diesen über diesen Fehler.
System RemoteAccess 20271 Der Benutzerbenutzername<>, der über <die IP-Adresse> verbunden ist, aber ein Authentifizierungsversuch ist aus folgendem Grund fehlgeschlagen:
Die Verbindung wurde aufgrund einer richtlinie verhindert, die auf Ihrem RAS-/VPN-Server konfiguriert wurde. Insbesondere die Authentifizierungsmethode, die vom Server zum Überprüfen Ihres Benutzernamens und Kennworts verwendet wird, entspricht möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie diesen über diesen Fehler.

Ursache

Diese Probleme können auftreten, wenn Sie Ihre Stammzertifizierungsstellen von Drittanbietern mithilfe des Updatepakets vom Dezember 2012 kb 931125 aktualisiert haben. Das KB-931125 Paket, das am 11. Dezember 2012 veröffentlicht wurde, war nur für Client-SKUs vorgesehen. Es wurde jedoch für kurze Zeit auch für Server-SKUs unter Windows Update und WSUS angeboten.

Dieses Paket hat mehr als 330 Stammzertifizierungsstellen von Drittanbietern installiert. Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 KB. Wenn Sie eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern haben, wird der Grenzwert von 16.000 überschritten, und Es treten Probleme mit der TLS-/SSL-Kommunikation auf.

Lösung

Wenn Sie WSUS verwenden und das Update vom Dezember 2012 KB 931125 nicht installiert haben, sollten Sie Ihre WSUS-Server synchronisieren und dann die Ablaufvorgänge genehmigen, damit ihre Server das Update nicht installieren.

Wenn Sie das Updatepaket vom Dezember 2012 KB 931125 installiert haben, sollten Sie die folgende Lösung verwenden, um zusätzliche Stammzertifizierungsstellen von Drittanbietern auf allen Servern zu entfernen, die jetzt über eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern verfügen.

Hinweis

Diese Lösung entfernt alle Stammzertifizierungsstellen von Drittanbietern. Wenn Ihr Server mit Windows Update verbunden ist, werden bei Bedarf automatisch Stammzertifizierungsstellen von Drittanbietern hinzugefügt, wie auch in KB 931125 erläutert. Wenn ein betroffener Server isoliert oder vom Internet getrennt ist, müssen Sie die erforderlichen Stammzertifizierungsstellen von Drittanbietern wie in der Vergangenheit manuell wieder hinzufügen. (Oder Sie können sie mithilfe von Gruppenrichtlinien installieren.)

Löschen Sie den folgenden Registrierungsschlüssel, um dieses Problem zu beheben:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Gehen Sie dazu wie folgt vor:

  1. Registrierungs-Editor starten
  2. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Klicken Sie mit der rechten Maustaste, und löschen Sie dann den Schlüssel mit dem Namen Zertifikate.

Hinweis

Stellen Sie sicher, dass Sie eine Sicherung der Registrierung und der betroffenen Schlüssel erstellen, bevor Sie Änderungen an Ihrem System vornehmen.

Weitere Informationen

Diese Probleme können auftreten, wenn ein TLS/SSL-Server viele Einträge in der Liste der vertrauenswürdigen Stammzertifizierungen enthält. Der Server sendet eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client, wenn die folgenden Bedingungen erfüllt sind:

  • Der Server verwendet das TLS-/SSL-Protokoll (Transport Layer Security) zum Verschlüsseln des Netzwerkdatenverkehrs.
  • Clientzertifikate sind für die Authentifizierung während des Authentifizierungshandshakes erforderlich.

Diese Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Autoritäten dar, von denen der Server ein Clientzertifikat akzeptieren kann. Um vom Server authentifiziert zu werden, muss der Client über ein Zertifikat verfügen, das in der Kette von Zertifikaten zu einem Stammzertifikat aus der Liste des Servers vorhanden ist. Dies liegt daran, dass das Clientzertifikat immer das Endentitätszertifikat am Ende der Kette ist. Das Clientzertifikat ist nicht Teil der Kette.

Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012 unterstützt.

Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen, indem er den Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer durchsucht. Jedes Zertifikat, das für Clientauthentifizierungszwecke vertrauenswürdig ist, wird der Liste hinzugefügt. Wenn die Größe dieser Liste 16 KB überschreitet, protokolliert Schannel die Warnungsereignis-ID 36855. Anschließend schneidet Schannel die Liste der vertrauenswürdigen Stammzertifikate ab und sendet diese abgeschnittene Liste an den Clientcomputer.

Wenn der Clientcomputer die gekürzte Liste der vertrauenswürdigen Stammzertifikate empfängt, verfügt der Clientcomputer möglicherweise nicht über ein Zertifikat, das in der Kette eines vertrauenswürdigen Zertifikatausstellers vorhanden ist. Beispielsweise kann der Clientcomputer über ein Zertifikat verfügen, das einem vertrauenswürdigen Stammzertifikat entspricht, das Schannel aus der Liste der vertrauenswürdigen Zertifizierungsstellen abgeschnitten hat. Daher kann der Server den Client nicht authentifizieren.