取得新的憑證以取代伺服器上過期的憑證之後,用戶端就無法向伺服器進行驗證
本文提供在取得新憑證以取代伺服器上過期憑證之後,客戶端無法向伺服器進行驗證的問題解決方案。
原始 KB 編號: 822406
將過期的憑證取代為執行 Microsoft 因特網驗證服務 (IAS) 或路由和遠端訪問之伺服器上的新憑證之後,已設定為驗證伺服器憑證的可延伸驗證通訊協定傳輸層安全性 (EAP-TLS) 的用戶端將無法再向伺服器進行驗證。 當您在用戶端電腦上檢視系統登入 事件檢視器 時,會顯示下列事件。
如果您在執行 IAS 或路由和遠端存取的伺服器上啟用詳細資訊記錄功能(例如,藉由執行 netsh ras set tracing * enable
命令),類似下列資訊會顯示在用戶端嘗試驗證時所產生的Rastls.log檔案中。
注意
如果您使用 IAS 作為 Radius 伺服器進行驗證,您會在 IAS 伺服器上看到此行為。 如果您使用路由和遠端訪問,且已針對 Windows 驗證設定路由和遠端存取(而非 Radius 驗證),您會在路由和遠端存取伺服器上看到此行為。
[1072] 15:47:57:280:不會忽略CRYPT_E_NO_REVOCATION_CHECK
[1072] 15:47:57:280:不會忽略CRYPT_E_REVOCATION_OFFLINE
[1072] 15:47:57:280:根憑證將不會核取撤銷
[1072] 15:47:57:280:憑證將檢查撤銷
[1072] 15:47:57:280:
[1072] 15:47:57:280: EapTlsMakeMessage(範例\client)
[1072] 15:47:57:280: >> 已接收回應(代碼:2) 封包:標識符:11,長度:25,類型:0,TLS Blob 長度:0。 旗標:
[1072] 15:47:57:280: EapTlsSMakeMessage
[1072] 15:47:57:280: EapTlsReset
[1072] 15:47:57:280:狀態變更為初始
[1072] 15:47:57:280: GetCredentials
[1072] 15:47:57:280:憑證中的名稱為:server.example.com
[1072] 15:47:57:312: BuildPacket
[1072] 15:47:57:312: << 傳送要求(代碼:1) 封包:標識符:12,長度:6,類型:13,TLS Blob 長度:0。 旗標:S
[1072] 15:47:57:312:狀態變更為 SentStart
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(範例\client)
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(範例\client)
[1072] 15:47:57:452:
[1072] 15:47:57:452: EapTlsMakeMessage(範例\client)
[1072] 15:47:57:452: >> 接收的響應(代碼:2) 封包:標識符:12,長度:80,類型:13,TLS Blob 長度:70。 旗標:L
[1072] 15:47:57:452: EapTlsSMakeMessage
[1072] 15:47:57:452: MakeReplyMessage
[1072] 15:47:57:452:重新配置輸入 TLS Blob 緩衝區
[1072] 15:47:57:452: SecurityContextFunction
[1072] 15:47:57:671:狀態變更為 SentHello
[1072] 15:47:57:671: BuildPacket
[1072] 15:47:57:671: << 傳送要求(代碼:1) 封包:標識符:13,長度:1498,類型:13,TLS Blob 長度:3874。 旗標:LM
[1072] 15:47:57:702:
[1072] 15:47:57:702: EapTlsMakeMessage(範例\client)
[1072] 15:47:57:702: >> 已接收回應(代碼:2) 封包:標識符:13,長度:6,類型:13,TLS Blob 長度:0。 旗標:
[1072] 15:47:57:702: EapTlsSMakeMessage
[1072] 15:47:57:702: BuildPacket
[1072] 15:47:57:702: << 傳送要求(代碼:1) 封包:標識符:14,長度:1498,類型:13,TLS Blob 長度:0。 旗標:M
[1072] 15:47:57:718:
[1072] 15:47:57:718: EapTlsMakeMessage(範例\client)
[1072] 15:47:57:718: >> 已接收回應(代碼:2) 封包:標識符:14,長度:6,類型:13,TLS Blob 長度:0。 旗標:
[1072] 15:47:57:718: EapTlsSMakeMessage
[1072] 15:47:57:718: BuildPacket
[1072] 15:47:57:718: << 傳送要求(代碼:1) 封包:標識符:15,長度:900,類型:13,TLS Blob 長度:0。 旗標:
[1072] 15:48:12:905:
[1072] 15:48:12:905: EapTlsMakeMessage(範例\client)
[1072] 15:48:12:905: >> 已接收回應(代碼:2) 封包:標識符:15,長度:6,類型:13,TLS Blob 長度:0。 旗標:
[1072] 15:48:12:905: EapTlsSMakeMessage
[1072] 15:48:12:905: MakeReplyMessage
[1072] 15:48:12:905: SecurityContextFunction
[1072] 15:48:12:905:狀態變更為 SentFinished。 錯誤:0x80090318
[1072] 15:48:12:905:交涉失敗
[1072] 15:48:12:905: BuildPacket
[1072] 15:48:12:905: << 傳送失敗 (代碼: 4) 封包: 標識符: 15, 長度: 4, 類型: 0, TLS Blob le
如果下列所有條件都成立,就可能發生此問題:
- IAS 或路由和遠端訪問伺服器是網域成員,但網路上中未設定自動憑證要求功能(自動註冊)。 或者,IAS 或路由和遠端訪問伺服器不是網域成員。
- 您手動要求並接收 IAS 或路由和遠端存取伺服器的新憑證。
- 您不會從 IAS 或路由和遠端存取伺服器中移除過期的憑證。 如果 IAS 或路由和遠端存取伺服器上存在過期的憑證與新的有效憑證,則客戶端驗證不會成功。 用戶端電腦上事件記錄檔中顯示的「錯誤0x80090328」結果會對應至「過期的憑證」。
若要解決此問題,請移除過期的(封存)憑證。 如果要執行這項操作,請依照下列步驟執行:
- 開啟您在 IAS 伺服器上管理憑證儲存的 Microsoft 管理主控台 (MMC) 嵌入式管理單元。 如果您還沒有 MMC 嵌入式管理單元可檢視證書儲存的來源,請建立一個。 若要這樣做:
選取 [開始],選取 [執行],在 [開啟] 方塊中輸入 mmc,然後選取 [確定]。
在 [ 控制台 ] 功能表上( Windows Server 2003 中的 [檔案 ] 功能表),選取 [新增/移除嵌入式管理單元],然後選取 [ 新增]。
在 [可用的獨立嵌入式管理單元] 列表中,依序選取 [憑證]、[新增]、[計算機帳戶]、[下一步],然後選取 [完成]。
注意
您也可以將使用者帳戶和服務帳戶的憑證嵌入式管理單元新增至此 MMC 嵌入式管理單元。
選取 [關閉],然後選取 [確定]。
- 在 [控制台根目錄] 底下,選取 [憑證] [本機計算機]。
- 在 [ 檢視] 功能表上,選取 [ 選項]。
- 按兩下以選取 [ 封存憑證 ] 複選框,然後選取 [ 確定]。
- 展開 [ 個人],然後選取 [ 憑證]。
- 以滑鼠右鍵按兩下過期的數位證書,選取 [ 刪除],然後選取 [ 是 ] 以確認移除過期的憑證。
- 結束 MMC 嵌入式管理單元。 您不需要重新啟動電腦或任何服務即可完成此程式。
Microsoft建議您設定自動憑證要求,以更新組織中的數字證書。 如需詳細資訊,請參閱 Windows XP 中的憑證自動註冊