Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una soluzione ai problemi di comunicazione SSL/TLS che si verificano dopo l'installazione di KB 931125.
Numero KB originale: 2801679
Sintomi
Dopo il 11 dicembre 2012, le applicazioni e le operazioni dipendenti dalle autenticazioni basate su TLS hanno esito negativo improvvisamente anche se non hanno modifiche di configurazione evidenti. Alcune delle applicazioni e delle operazioni che potrebbero non riuscire includono, ma non sono limitate alle operazioni seguenti:
- Accesso alla rete wireless che usa l'autenticazione basata su certificati
- Accesso alla rete cablata che usa l'autenticazione basata su certificati
- Connettività client a Lync o a Office Communications Server
- Segreteria telefonica che usa Exchange Server insieme alla messaggistica unificata
- Accesso al sito Web abilitato per SSL
- Accessi di Outlook
- Ritardi di avvio del sistema operativo (avvio lento)
- Ritardi degli accessi utente (accesso lento)
Gli eventi registrati in Windows o nei registri eventi specifici dell'applicazione e che l'ambito o identificare definitivamente il sintomo descritto in questo articolo, includere, ma non solo, gli eventi elencati nella tabella seguente.
| Log eventi | Origine evento | ID evento | Testo dell'evento |
|---|---|---|---|
| Sistema | Schannel | 36885 | Quando si richiede l'autenticazione client, questo server invia un elenco di autorità di certificazione attendibili al client. Il client usa questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, questo server considera attendibili così tante autorità di certificazione che l'elenco è cresciuto troppo a lungo. Per questo motivo, l'elenco è stato troncato. L'amministratore di questo computer deve esaminare le autorità di certificazione attendibili per l'autenticazione client e rimuovere quelle che non devono essere effettivamente attendibili. |
| Sistema | Schannel | 36887 | È stato ricevuto l'avviso irreversibile seguente: 47 |
| Sistema | NapAgent | 39 | L'agente protezione accesso alla rete non è riuscito a determinare le risorse umane da cui richiedere un certificato di integrità. Una modifica di rete o se gp è configurato, una modifica di configurazione richiederà ulteriori tentativi di acquisire un certificato di integrità. In caso contrario, non verranno effettuati ulteriori tentativi. Per altre informazioni, contattare l'amministratore autorità registrazione integrità. |
| Sistema | RemoteAccess | 20225 | L'errore seguente si è verificato nel modulo Point to Point Protocol sulla porta: VPN2-509, UserName: <username>. impossibile stabilire la connessione a causa di un criterio configurato nel server RAS/VPN. In particolare, il metodo di autenticazione usato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e notificare l'errore. |
| Sistema | RemoteAccess | 20271 | Il nome utente> connesso dall'indirizzo> <<IP ma non è riuscito un tentativo di autenticazione a causa del motivo seguente: la connessione è stata impedita a causa di un criterio configurato nel server RAS/VPN. In particolare, il metodo di autenticazione usato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e notificare l'errore. |
Causa
Questi problemi possono verificarsi se le autorità di certificazione radice di terze parti sono state aggiornate usando il pacchetto di aggiornamento di dicembre 2012 KB 931125. Il pacchetto kb 931125 pubblicato il 11 dicembre 2012 era destinato solo agli SKU client. Tuttavia, è stato offerto anche per SKU del server per un breve periodo di tempo in Windows Update e WSUS.
Questo pacchetto ha installato più di 330 autorità di certificazione radice di terze parti. Attualmente, la dimensione massima dell'elenco delle autorità di certificazione attendibili supportata dal pacchetto di sicurezza Schannel è di 16 kilobyte (KB). La presenza di una grande quantità di autorità di certificazione radice di terze parti supera il limite di 16.000 e si verificano problemi di comunicazione TLS/SSL.
Risoluzione
Se si usa WSUS e non è stato installato l'aggiornamento di dicembre 2012 KB 931125, è necessario sincronizzare i server WSUS e quindi approvare le scadenze in modo che i server non installino l'aggiornamento.
Se è stato installato il pacchetto di aggiornamento di dicembre 2012 KB 931125, è consigliabile usare la risoluzione seguente per rimuovere altre autorità di certificazione radice di terze parti in tutti i server che ora dispongono di una grande quantità di autorità di certificazione radice di terze parti.
Note
Questa soluzione rimuove tutte le autorità di certificazione radice di terze parti. Se il server dispone di connettività a Windows Update, aggiungerà automaticamente autorità di certificazione radice di terze parti in base alle esigenze, come illustrato anche in KB 931125. Se un server interessato è isolato o disconnesso da Internet, è necessario aggiungere manualmente le autorità di certificazione radice di terze parti necessarie come si sarebbe fatto in passato. In alternativa, è possibile installarli usando Criteri di gruppo.
Per risolvere il problema, eliminare la chiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
A tale scopo, effettuare i passaggi seguenti:
- Avviare l'editor del Registro di sistema
- Individuare la sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Fare clic con il pulsante destro del mouse e quindi eliminare la chiave denominata Certificati.
Note
Assicurarsi di eseguire un backup del Registro di sistema e delle chiavi interessate prima di apportare modifiche al sistema.
Ulteriori informazioni
Questi problemi possono verificarsi se un server TLS/SSL contiene molte voci nell'elenco di certificazione radice attendibile. Se le condizioni seguenti sono vere, il server invia un elenco di autorità di certificazione attendibili al client:
- Il server usa il protocollo Transport Layer Security (TLS)/SSL per crittografare il traffico di rete.
- I certificati client sono necessari per l'autenticazione durante il processo di handshake di autenticazione.
Questo elenco di autorità di certificazione attendibili rappresenta le autorità da cui il server può accettare un certificato client. Per essere autenticato dal server, il client deve avere un certificato che è presente nella catena di certificati a un certificato radice dall'elenco del server. Questo perché il certificato client è sempre il certificato dell'entità finale alla fine della catena. Il certificato client non fa parte della catena.
Attualmente, le dimensioni massime dell'elenco delle autorità di certificazione attendibili supportate dal pacchetto di sicurezza Schannel sono di 16 KB in Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.
Schannel crea l'elenco delle autorità di certificazione attendibili eseguendo una ricerca nell'archivio Autorità di certificazione radice attendibili nel computer locale. Ogni certificato considerato attendibile per scopi di autenticazione client viene aggiunto all'elenco. Se le dimensioni di questo elenco superano 16 KB, Schannel registra l'ID evento di avviso 36855. Quindi, Schannel tronca l'elenco di certificati radice attendibili e lo invia al computer client.
Quando il computer client riceve l'elenco troncato di certificati radice attendibili, il computer client potrebbe non avere un certificato presente nella catena di un'autorità di certificazione attendibile. Ad esempio, il computer client può avere un certificato che corrisponde a un certificato radice attendibile troncato dall'elenco di autorità di certificazione attendibili. Pertanto, il server non può autenticare il client.