Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln innehåller en lösning på SSL/TLS-kommunikationsproblem som uppstår när du har installerat KB-931125.
Ursprungligt KB-nummer: 2801679
Symptom
Efter den 11 december 2012 kan program och åtgärder som är beroende av TLS-baserade autentiseringar plötsligt misslyckas även om de inte har någon uppenbar konfigurationsändring. Några av de program och åtgärder som kan misslyckas omfattar, men är inte begränsade till, följande:
- Trådlös nätverksåtkomst som använder certifikatbaserad autentisering
- Kabelansluten nätverksåtkomst som använder certifikatbaserad autentisering
- Klientanslutning till Lync eller till Office Communications Server
- Röstbrevlåda som använder Exchange Server tillsammans med Unified Messaging
- SSL-aktiverad webbplatsåtkomst
- Outlook-inloggningar
- Fördröjningar i os-start (långsam start)
- Fördröjningar för användarinloggning (långsam inloggning)
Händelser som loggas i Windows eller i programspecifika händelseloggar och som antingen omfång eller definitivt identifierar det symptom som beskrivs i den här artikeln inkluderar, men är inte begränsade till, händelser som visas i följande tabell.
| Händelseloggen | Händelsekälla | Händelse-ID | Händelsetext |
|---|---|---|---|
| System | Schannel | 36885 | När du ber om klientautentisering skickar den här servern en lista över betrodda certifikatutfärdare till klienten. Klienten använder den här listan för att välja ett klientcertifikat som är betrott av servern. För närvarande litar den här servern på så många certifikatutfärdare att listan har vuxit för länge. Den här listan har därför trunkerats. Administratören för den här datorn bör granska de certifikatutfärdare som är betrodda för klientautentisering och ta bort dem som egentligen inte behöver vara betrodda. |
| System | Schannel | 36887 | Följande dödliga avisering togs emot: 47 |
| System | NapAgent | 39 | Nätverksåtkomstskyddsagenten kunde inte avgöra vilka HRA:er som ska begära ett hälsocertifikat från. En nätverksändring eller om gp har konfigurerats kommer en konfigurationsändring att uppmana till ytterligare försök att hämta ett hälsocertifikat. Annars görs inga ytterligare försök. Kontakta HRA-administratören om du vill ha mer information. |
| System | RemoteAccess | 20225 | Följande fel inträffade i modulen Point to Point Protocol på port: VPN2-509, UserName: <username>. Anslutningen förhindrades på grund av en policy som är konfigurerad på RAS/VPN-servern. Mer specifikt matchar kanske inte autentiseringsmetoden som används av servern för att verifiera ditt användarnamn och lösenord den autentiseringsmetod som är konfigurerad i din anslutningsprofil. Kontakta RAS-serverns administratör och meddela dem om det här felet. |
| System | RemoteAccess | 20271 | Användarens <användarnamn> anslöt från <IP-adressen> men misslyckades med ett autentiseringsförsök på grund av följande orsak: Anslutningen förhindrades på grund av en princip som konfigurerats på RAS/VPN-servern. Mer specifikt matchar kanske inte autentiseringsmetoden som används av servern för att verifiera ditt användarnamn och lösenord den autentiseringsmetod som är konfigurerad i din anslutningsprofil. Kontakta RAS-serverns administratör och meddela dem om det här felet. |
Orsak
Dessa problem kan uppstå om du har uppdaterat rotcertifikatutfärdare från tredje part med hjälp av uppdateringspaketet för 931125 december 2012 KB. KB-931125-paketet som publicerades den 11 december 2012 var endast avsett för klient-SKU:er. Men det erbjöds även för server-SKU:er under en kort tid på Windows Update och WSUS.
Det här paketet har installerat fler än 330 rotcertifikatutfärdare från tredje part. För närvarande är den maximala storleken på listan över betrodda certifikatutfärdare som Schannel-säkerhetspaketet stöder 16 kilobyte (KB). Om du har en stor mängd rotcertifikatutfärdare från tredje part överskrids gränsen på 16 000 och du får problem med TLS/SSL-kommunikation.
Åtgärd
Om du använder WSUS och inte har installerat uppdateringen december 2012 KB 931125 bör du synkronisera WSUS-servrarna och sedan godkänna förfallodatumen så att servrarna inte installerar uppdateringen.
Om du installerade uppdateringspaketet för december 2012 KB 931125 bör du använda följande lösning för att ta bort ytterligare rotcertifikatutfärdare från tredje part på alla servrar som nu har en stor mängd rotcertifikatutfärdare från tredje part.
Kommentar
Den här lösningen tar bort alla rotcertifikatutfärdare från tredje part. Om servern har anslutning till Windows Update lägger den automatiskt till rotcertifikatutfärdare från tredje part efter behov, vilket även beskrivs i KB-931125. Om en berörd server är isolerad eller frånkopplad från Internet måste du manuellt lägga till nödvändiga rotcertifikatutfärdare från tredje part som du skulle ha gjort tidigare. (Eller så kan du installera dem med hjälp av grupprincip.)
Åtgärda problemet genom att ta bort följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
För att göra detta följer du stegen nedan:
- Starta registereditorn
- Leta upp följande registerundernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Högerklicka och ta sedan bort nyckeln som kallas Certifikat.
Kommentar
Kontrollera att du gör en säkerhetskopia av registret och de nycklar som påverkas innan du gör några ändringar i systemet.
Mer information
Dessa problem kan uppstå om en TLS/SSL-server innehåller många poster i listan över betrodda rotcertifieringar. Servern skickar en lista över betrodda certifikatutfärdare till klienten om följande villkor är uppfyllda:
- Servern använder TLS-protokollet (Transport Layer Security) /SSL för att kryptera nätverkstrafik.
- Klientcertifikat krävs för autentisering under handskakningsprocessen för autentisering.
Den här listan över betrodda certifikatutfärdare representerar de myndigheter från vilka servern kan acceptera ett klientcertifikat. För att kunna autentiseras av servern måste klienten ha ett certifikat som finns i kedjan med certifikat till ett rotcertifikat från serverns lista. Det beror på att klientcertifikatet alltid är slutentitetscertifikatet i slutet av kedjan. Klientcertifikatet ingår inte i kedjan.
För närvarande är den maximala storleken på listan över betrodda certifikatutfärdare som Schannel-säkerhetspaketet stöder 16 KB i Windows Server 2008, Windows Server 2008 R2 och Windows Server 2012.
Schannel skapar listan över betrodda certifikatutfärdare genom att söka i arkivet Betrodda rotcertifikatutfärdare på den lokala datorn. Alla certifikat som är betrodda för klientautentisering läggs till i listan. Om listans storlek överskrider 16 KB loggar Schannel varningshändelse-ID 36855. Sedan trunkerar Schannel listan över betrodda rotcertifikat och skickar den här trunkerade listan till klientdatorn.
När klientdatorn tar emot den trunkerade listan över betrodda rotcertifikat kanske klientdatorn inte har något certifikat som finns i kedjan för en betrodd certifikatutfärdare. Klientdatorn kan till exempel ha ett certifikat som motsvarar ett betrott rotcertifikat som Schannel trunkerade från listan över betrodda certifikatutfärdare. Därför kan servern inte autentisera klienten.