Проблемы со связью SSL/TLS после установки базы знаний 931125
В этой статье описывается решение проблем с обменом данными по протоколу SSL/TLS, возникающим после установки базы знаний 931125.
Применимо к: Windows Server 2008 R2 с пакетом обновления 1 (SP1), Windows Server 2012 R2
Исходный номер базы знаний: 2801679
Симптомы
После 11 декабря 2012 г. приложения и операции, зависящие от проверки подлинности на основе TLS, могут внезапно завершиться сбоем, несмотря на отсутствие явного изменения конфигурации. Некоторые из приложений и операций, которые могут завершиться сбоем, включают, помимо прочего, следующие:
- Доступ к беспроводной сети, использующий проверку подлинности на основе сертификатов
- Доступ к проводной сети, использующий проверку подлинности на основе сертификата
- Подключение клиента к Lync или Office Communications Server
- Голосовая почта, использующая Exchange Server вместе с единой системой обмена сообщениями
- Доступ к веб-сайту с поддержкой SSL
- Входы в Outlook
- Задержки загрузки ОС (медленная загрузка)
- Задержки входа пользователей (медленный вход)
События, которые регистрируются в Windows или в журналах событий, относящихся к приложениям, и которые либо область, либо окончательно определяют симптом, описанный в этой статье, включают, помимо прочего, события, перечисленные в следующей таблице.
| Журнал событий | Источник события | Идентификатор события | Текст события |
|---|---|---|---|
| Системные | Schannel | 36885 | При запросе проверки подлинности клиента этот сервер отправляет клиенту список доверенных центров сертификации. Клиент использует этот список для выбора сертификата клиента, который является доверенным для сервера. В настоящее время этот сервер доверяет так много центров сертификации, что список слишком длинный. Таким образом, этот список был усечен. Администратор этого компьютера должен проверить доверенные центры сертификации для проверки подлинности клиента и удалить те, которым на самом деле не нужно доверять. |
| Системные | Schannel | 36887 | Получено следующее смертельное оповещение: 47 |
| Системные | NapAgent | 39 | Агенту защиты доступа к сети не удалось определить, к каким hrA следует запросить сертификат работоспособности. При изменении сети или при настройке групповой политики при изменении конфигурации будут запрошены дальнейшие попытки получения сертификата работоспособности. В противном случае дальнейшие попытки не будут предприниматься. За дополнительными сведениями обратитесь к администратору HRA. |
| Системные | RemoteAccess | 20225 | В модуле протокола "точка — точка" на порту произошла следующая ошибка: VPN2-509, Имя пользователя: <имя пользователя>. Подключение было запрещено из-за политики, настроенной на ras/VPN-сервере. В частности, метод проверки подлинности, используемый сервером для проверки имени пользователя и пароля, может не соответствовать методу проверки подлинности, настроенном в профиле подключения. Обратитесь к администратору сервера RAS и уведомите его об этой ошибке. |
| Системные | RemoteAccess | 20271 | Имя пользователя<>, подключенное с <IP-адреса>, но сбой попытки проверки подлинности по следующей причине: Подключение было запрещено из-за политики, настроенной на сервере RAS/VPN. В частности, метод проверки подлинности, используемый сервером для проверки имени пользователя и пароля, может не соответствовать методу проверки подлинности, настроенном в профиле подключения. Обратитесь к администратору сервера RAS и уведомите его об этой ошибке. |
Причина
Эти проблемы могут возникнуть, если вы обновили сторонние корневые центры сертификации с помощью пакета обновления 931125 за декабрь 2012 г. Пакет kb 931125, опубликованный 11 декабря 2012 г., предназначен только для номеров SKU клиента. Однако он также был предложен для SKU сервера в течение короткого времени в клиентский компонент Центра обновления Windows и WSUS.
Этот пакет установил более 330 сторонних корневых центров сертификации. В настоящее время максимальный размер списка доверенных центров сертификации, поддерживаемых пакетом безопасности Schannel, составляет 16 килобайт (КБ). При наличии большого количества сторонних корневых центров сертификации будет превышено ограничение в 16 тысяч, и у вас возникнут проблемы с обменом данными по протоколу TLS/SSL.
Разрешение
Если вы используете СЛУЖБЫ WSUS и не установили обновление базы знаний 931125 за декабрь 2012 г., следует синхронизировать серверы WSUS, а затем утвердить срок действия, чтобы серверы не устанавливали обновление.
Если вы установили пакет обновления базы знаний 931125 за декабрь 2012 г., следует использовать следующее решение, чтобы удалить дополнительные сторонние корневые центры сертификации на всех серверах, на которых теперь имеется большой объем сторонних корневых центров сертификации.
Примечание.
Это решение удаляет все сторонние корневые центры сертификации. Если сервер подключен к клиентский компонент Центра обновления Windows, он автоматически добавит сторонние корневые центры сертификации по мере необходимости, как описано также в 931125 базы знаний. Если затронутый сервер изолирован или отключен от Интернета, необходимо вручную добавить необходимые сторонние корневые центры сертификации, как и раньше. (Или их можно установить с помощью групповая политика.)
Чтобы устранить эту проблему, удалите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Для этого выполните следующие действия:
- Запуск Редактор реестра
- Найдите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Щелкните правой кнопкой мыши и удалите ключ, который называется Сертификаты.
Примечание.
Убедитесь, что вы создаете резервную копию реестра и затронутых разделов, прежде чем вносить какие-либо изменения в систему.
Дополнительная информация
Эти проблемы могут возникнуть, если сервер TLS/SSL содержит много записей в списке доверенных корневых сертификатов. Сервер отправляет клиенту список доверенных центров сертификации, если выполняются следующие условия:
- Сервер использует протокол TLS/SSL для шифрования сетевого трафика.
- Сертификаты клиента требуются для проверки подлинности в процессе подтверждения проверки подлинности.
Этот список доверенных центров сертификации представляет центры, из которых сервер может принимать сертификат клиента. Для проверки подлинности на сервере клиент должен иметь сертификат, который присутствует в цепочке сертификатов с корневым сертификатом из списка сервера. Это связано с тем, что сертификат клиента всегда является сертификатом конечной сущности в конце цепочки. Сертификат клиента не является частью цепочки.
В настоящее время максимальный размер списка доверенных центров сертификации, поддерживаемых пакетом безопасности Schannel, составляет 16 КБ в Windows Server 2008, Windows Server 2008 R2 и Windows Server 2012.
Schannel создает список доверенных центров сертификации путем поиска в хранилище доверенных корневых центров сертификации на локальном компьютере. Каждый сертификат, который является доверенным для проверки подлинности клиента, добавляется в список. Если размер этого списка превышает 16 КБ, Schannel регистрирует событие Warning с идентификатором 36855. Затем Schannel усекает список доверенных корневых сертификатов и отправляет этот усеченный список на клиентский компьютер.
Когда клиентский компьютер получает усеченный список доверенных корневых сертификатов, на клиентском компьютере может не быть сертификата, который существует в цепочке доверенного издателя сертификатов. Например, клиентский компьютер может иметь сертификат, соответствующий доверенному корневому сертификату, который Schannel усекается из списка доверенных центров сертификации. Таким образом, сервер не может проверить подлинность клиента.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по