Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit une solution aux problèmes de communication SSL/TLS qui se produisent après l’installation de la base de connaissances 931125.
Numéro de base de connaissances d’origine : 2801679
Symptômes
Après le 11 décembre 2012, les applications et les opérations qui dépendent des authentifications basées sur TLS échouent soudainement, bien qu’elles n’aient aucune modification de configuration apparente. Certaines des applications et opérations qui peuvent échouer incluent, mais qui ne sont pas limitées, les éléments suivants :
- Accès réseau sans fil qui utilise l’authentification basée sur des certificats
- Accès réseau câblé qui utilise l’authentification basée sur des certificats
- Connectivité du client à Lync ou à Office Communications Server
- Messagerie vocale qui utilise Exchange Server avec la messagerie unifiée
- Accès au site web avec SSL
- Connexions Outlook
- Retards de démarrage du système d’exploitation (démarrage lent)
- Retards de connexion des utilisateurs (ouverture de session lente)
Les événements connectés à Windows ou dans les journaux d’événements spécifiques à l’application et qui, dans l’étendue ou identifient définitivement le symptôme abordé dans cet article, incluent, mais ne sont pas limités aux événements répertoriés dans le tableau suivant.
| Journal des événements | Source de l'événement | ID événement | Texte de l'événement |
|---|---|---|---|
| System | Schannel | 36885 | Lorsque vous demandez l’authentification du client, ce serveur envoie une liste d’autorités de certification approuvées au client. Le client utilise cette liste afin de choisir un certificat qui est approuvé par le serveur. Actuellement, ce serveur approuve tant d’autorités de certification que la liste a augmenté trop longtemps. Cette liste a par conséquent été tronquée. L’administrateur de cet ordinateur doit examiner les autorités de certification approuvées pour l’authentification du client et supprimer celles qui n’ont pas vraiment besoin d’être approuvées. |
| System | Schannel | 36887 | L’alerte irrécupérable suivante a été reçue : 47 |
| System | NapAgent | 39 | L’Agent de protection de l’accès réseau n’a pas pu déterminer les hras à partir desquels demander un certificat d’intégrité. Une modification réseau ou si la stratégie de groupe est configurée, une modification de configuration invite d’autres tentatives d’acquisition d’un certificat d’intégrité. Sinon, aucune autre tentative n’est effectuée. Pour plus d’informations, contactez l’administrateur de l’HRA. |
| System | RemoteAccess | 20225 | L’erreur suivante s’est produite dans le module Point to Point Protocol sur le port : VPN2-509, UserName : <nom d’utilisateur>. la connexion a été empêchée en raison d’une stratégie configurée sur votre serveur RAS/VPN. Plus précisément, la méthode d'authentification utilisée par le serveur pour vérifier votre nom d'utilisateur et votre mot de passe peut ne pas correspondre à la méthode d'authentification configurée dans votre profil de connexion. Contactez l’administrateur du serveur RAS et informez-les de cette erreur. |
| System | RemoteAccess | 20271 | Nom d’utilisateur <> connecté à partir de l’adresse> <IP, mais échec d’une tentative d’authentification en raison de la raison suivante : la connexion a été empêchée en raison d’une stratégie configurée sur votre serveur RAS/VPN. Plus précisément, la méthode d'authentification utilisée par le serveur pour vérifier votre nom d'utilisateur et votre mot de passe peut ne pas correspondre à la méthode d'authentification configurée dans votre profil de connexion. Contactez l’administrateur du serveur RAS et informez-les de cette erreur. |
Cause
Ces problèmes peuvent se produire si vous avez mis à jour vos autorités de certification racines tierces à l’aide du package de mise à jour 931125 de décembre 2012. Le package kb 931125 publié le 11 décembre 2012 uniquement pour les références SKU clientes. Toutefois, il a également été proposé pour les références SKU de serveur pendant une courte période sur Windows Update et WSUS.
Ce package a installé plus de 330 autorités de certification racine tierces. Actuellement, la taille maximale de la liste des autorités de certification approuvées prises en charge par le package de sécurité Schannel est de 16 kilo-octets (Ko). Le fait d’avoir une grande quantité d’autorités de certification racines tierces dépasse la limite de 16 000, et vous rencontrerez des problèmes de communication TLS/SSL.
Résolution
Si vous utilisez WSUS et que vous n’avez pas installé la mise à jour 931125 de décembre 2012, vous devez synchroniser vos serveurs WSUS, puis approuver les expirations afin que vos serveurs n’installent pas la mise à jour.
Si vous avez installé le package de mise à jour 931125 de décembre 2012, vous devez utiliser la résolution suivante pour supprimer des autorités de certification racine tierces supplémentaires sur tous les serveurs qui ont désormais une grande quantité d’autorités de certification racine tierces.
Note
Cette solution supprime toutes les autorités de certification racine tierces. Si votre serveur dispose d’une connectivité à Windows Update, il ajoute automatiquement les autorités de certification racines tierces en fonction des besoins, comme indiqué dans la base de connaissances 931125. Si un serveur affecté est isolé ou déconnecté d’Internet, vous devez ajouter manuellement les autorités de certification racine tierces nécessaires comme vous l’auriez fait dans le passé. (Vous pouvez également les installer à l’aide de la stratégie de groupe.)
Pour résoudre ce problème, supprimez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Pour ce faire, procédez comme suit :
- Démarrer l’Éditeur du Registre
- Recherchez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Cliquez avec le bouton droit, puis supprimez la clé appelée Certificats.
Note
Veillez à effectuer une sauvegarde du Registre et des clés affectées avant d’apporter des modifications à votre système.
Plus d’informations
Ces problèmes peuvent se produire si un serveur TLS/SSL contient de nombreuses entrées dans la liste de certification racine approuvée. Le serveur envoie une liste d’autorités de certification approuvées au client si les conditions suivantes sont remplies :
- Le serveur utilise le protocole TLS (Transport Layer Security)/SSL pour chiffrer le trafic réseau.
- Les certificats clients sont requis pour l’authentification lors du processus de négociation de l’authentification.
Cette liste d’autorités de certification approuvées représente les autorités à partir desquelles le serveur peut accepter un certificat client. Pour être authentifié par le serveur, le client doit disposer d’un certificat présent dans la chaîne de certificats vers un certificat racine de la liste du serveur. Cela est dû au fait que le certificat client est toujours le certificat d’entité de fin à la fin de la chaîne. Le certificat client ne fait pas partie de la chaîne.
Actuellement, la taille maximale de la liste des autorités de certification approuvées prises en charge par le package de sécurité Schannel est de 16 Ko dans Windows Server 2008, Windows Server 2008 R2 et Windows Server 2012.
Schannel crée la liste des autorités de certification approuvées en recherchant le magasin autorités de certification racines approuvées sur l’ordinateur local. Chaque certificat approuvé à des fins d’authentification client est ajouté à la liste. Si la taille de cette liste dépasse 16 Ko, Schannel journalise l’ID d’événement Avertissement 36855. Ensuite, Schannel tronque la liste des certificats racine approuvés et envoie cette liste tronquée à l’ordinateur client.
Lorsque l’ordinateur client reçoit la liste tronquée des certificats racines approuvés, l’ordinateur client peut ne pas avoir de certificat existant dans la chaîne d’un émetteur de certificat approuvé. Par exemple, l’ordinateur client peut avoir un certificat qui correspond à un certificat racine approuvé tronqué par Schannel à partir de la liste des autorités de certification approuvées. Par conséquent, le serveur ne peut pas authentifier le client.