Клиенты не могут пройти проверку подлинности с помощью сервера после получения нового сертификата для замены истекшим сроком действия сертификата на сервере.

В этой статье описывается решение проблемы, из-за которой клиенты не могут пройти проверку подлинности с помощью сервера после получения нового сертификата для замены истекшим сроком действия сертификата на сервере.

Исходный номер базы знаний: 822406

Симптомы

После замены истекающего сертификата новым сертификатом на сервере, на котором запущена служба проверки подлинности Майкрософт (IAS) или маршрутизация и удаленный доступ, клиенты, имеющие расширяемый протокол проверки подлинности протокол-транспортный уровень безопасности (EAP-TLS), настроенные для проверки того, что сертификат сервера больше не может пройти проверку подлинности с сервером. При просмотре системного входа в Просмотр событий на клиентском компьютере отображается следующее событие.

Если вы включите подробное ведение журнала на сервере, на котором выполняется IAS или Маршрутизация и удаленный доступ (например, выполнив netsh ras set tracing * enable команду), в файле Rastls.log, который создается при попытке выполнить проверку подлинности клиента.

Примечание.

Если вы используете IAS в качестве сервера Radius для проверки подлинности, это поведение отображается на сервере IAS. Если вы используете маршрутизацию и удаленный доступ, а маршрутизация и удаленный доступ настроены для проверки подлинности Windows (а не проверки подлинности радиуса), вы увидите это поведение на сервере маршрутизации и удаленного доступа.

[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK не будет игнорироваться

[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE не будет игнорироваться

[1072] 15:47:57:280: корневой сертификат не будет проверен для отзыва

[1072] 15:47:57:280: сертификат будет проверен для отзыва

[1072] 15:47:57:280:

[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:280: >> полученный пакет ответа (код: 2): идентификатор: 11, длина: 25, тип: 0, длина BLOB-объекта TLS: 0. Флаги:

[1072] 15:47:57:280: EapTlsSMakeMessage

[1072] 15:47:57:280: EapTlsReset

[1072] 15:47:57:280: изменение состояния на начальное

[1072] 15:47:57:280: GetCredentials

[1072] 15:47:57:280: имя в сертификате: server.example.com

[1072] 15:47:57:312: BuildPacket

[1072] 15:47:57:312: << отправка пакета (код: 1) : идентификатор: 12, длина: 6, тип: 13, длина BLOB-объекта TLS: 0. Флаги: S

[1072] 15:47:57:312: изменение состояния на SentStart

[1072] 15:47:57:312:

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:312:

[1072] 15:47:57:312: EapTlsEnd(Example\client)

[1072] 15:47:57:452:

[1072] 15:47:57:452: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:452: >> полученный пакет (код: 2): идентификатор: 12, длина: 80, тип: 13, длина БОЛЬШОго двоичного объекта TLS: 70. Флаги: L

[1072] 15:47:57:452: EapTlsSMakeMessage

[1072] 15:47:57:452: MakeReplyMessage

[1072] 15:47:57:452: перераспределение входного буфера BLOB-объектов TLS

[1072] 15:47:57:452: SecurityContextFunction

[1072] 15:47:57:671: изменение состояния на SentHello

[1072] 15:47:57:671: BuildPacket

[1072] 15:47:57:671: << отправка пакета (код: 1): идентификатор: 13, длина: 1498, тип: 13, длина BLOB-объекта TLS: 3874. Флаги: LM

[1072] 15:47:57:702:

[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:702: >> полученный пакет (код: 2): идентификатор: 13, длина: 6, тип: 13, длина BLOB-объекта TLS: 0. Флаги:

[1072] 15:47:57:702: EapTlsSMakeMessage

[1072] 15:47:57:702: BuildPacket

[1072] 15:47:57:702: << отправка пакета (код: 1): идентификатор: 14, длина: 1498, тип: 13, длина BLOB-объекта TLS: 0. Флаги: M

[1072] 15:47:57:718:

[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)

[1072] 15:47:57:718: >> полученный пакет ответа (код: 2): идентификатор: 14, длина: 6, тип: 13, длина BLOB-объекта TLS: 0. Флаги:

[1072] 15:47:57:718: EapTlsSMakeMessage

[1072] 15:47:57:718: BuildPacket

[1072] 15:47:57:718: << отправка пакета (код: 1): идентификатор: 15, длина: 900, тип: 13, длина BLOB-объекта TLS: 0. Флаги:

[1072] 15:48:12:905:

[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)

[1072] 15:48:12:905: >> полученный пакет (код: 2): идентификатор: 15, длина: 6, тип: 13, длина BLOB-объекта TLS: 0. Флаги:

[1072] 15:48:12:905: EapTlsSMakeMessage

[1072] 15:48:12:905: MakeReplyMessage

[1072] 15:48:12:905: SecurityContextFunction

[1072] 15:48:12:905: изменение состояния на SentFinished. Ошибка: 0x80090318

[1072] 15:48:12:905: неудачные переговоры

[1072] 15:48:12:905: BuildPacket

[1072] 15:48:12:905: << отправка пакета (код: 4): идентификатор: 15, длина: 4, тип: 0, BLOB-объект TLS le

Причина

Эта проблема может возникнуть, если выполняются все следующие условия:

• Сервер IAS или Маршрутизация и удаленный доступ является членом домена, но функция автоматического запроса сертификатов (автоматическая регистрация) не настроена в домене. Или сервер IAS или Маршрутизация и удаленный доступ не является членом домена.
• Вы вручную запрашиваете и получаете новый сертификат для сервера IAS или маршрутизации и удаленного доступа.
• Сертификат с истекшим сроком действия не удаляется с сервера IAS или маршрутизации и удаленного доступа. Если срок действия сертификата присутствует на сервере IAS или Маршрутизации и удаленного доступа вместе с новым действительным сертификатом, проверка подлинности клиента не завершается успешно. Результат "Ошибка 0x80090328", отображаемый в журнале событий на клиентском компьютере, соответствует "Истекший сертификат".

Обходное решение

Чтобы обойти эту проблему, удалите просроченный (архивированный) сертификат. Для этого выполните следующие шаги:

1. Откройте оснастку консоли управления Майкрософт (MMC), в которой вы управляете хранилищем сертификатов на сервере IAS. Если у вас еще нет оснастки MMC для просмотра хранилища сертификатов, создайте его. Для этого сделайте:

   1. Нажмите кнопку "Пуск", выберите "Запустить", введите mmc в поле "Открыть " и нажмите кнопку "ОК".

   2. В меню консоли (меню "Файл" в Windows Server 2003) выберите "Добавить или удалить оснастку" и нажмите кнопку "Добавить".

   3. В списке доступных автономных оснастки выберите "Сертификаты", выберите "Добавить", "Учетная запись компьютера", "Далее" и "Готово".

      Примечание.

      Вы также можете добавить оснастку "Сертификаты" для учетной записи пользователя и для учетной записи службы в эту оснастку MMC.

   4. Выберите Закрыть, а затем — ОК.

2. В разделе "Корневой каталог консоли" выберите сертификаты (локальный компьютер).
3. В меню "Вид" выберите "Параметры".
4. Установите флажок " Архивированные сертификаты" и нажмите кнопку "ОК".
5. Разверните узел "Личный", а затем выберите "Сертификаты".
6. Щелкните правой кнопкой мыши цифровой сертификат с истекшим сроком действия (архивный), выберите "Удалить", а затем нажмите кнопку "Да ", чтобы подтвердить удаление истекшим сертификатом.
7. Закройте оснастку MMC. Для выполнения этой процедуры не нужно перезагрузить компьютер или какие-либо службы.

Дополнительная информация

Корпорация Майкрософт рекомендует настроить автоматические запросы сертификатов для продления цифровых сертификатов в организации. Дополнительные сведения см. в разделе "Автоматическая регистрация сертификатов" в Windows XP