閱讀英文

共用方式為


取得新的憑證以取代伺服器上過期的憑證之後,用戶端就無法向伺服器進行驗證

本文提供在取得新憑證以取代伺服器上過期憑證之後,客戶端無法向伺服器進行驗證的問題解決方案。

原始 KB 編號: 822406

徵兆

將過期的憑證取代為執行 Microsoft 因特網驗證服務 (IAS) 或路由和遠端訪問之伺服器上的新憑證之後,已設定為驗證伺服器憑證的可延伸驗證通訊協定傳輸層安全性 (EAP-TLS) 的用戶端將無法再向伺服器進行驗證。 當您在用戶端電腦上檢視系統登入 事件檢視器 時,會顯示下列事件。

如果您在執行 IAS 或路由和遠端存取的伺服器上啟用詳細資訊記錄功能(例如,藉由執行 netsh ras set tracing * enable 命令),類似下列資訊會顯示在用戶端嘗試驗證時所產生的Rastls.log檔案中。

注意

如果您使用 IAS 作為 Radius 伺服器進行驗證,您會在 IAS 伺服器上看到此行為。 如果您使用路由和遠端訪問,且已針對 Windows 驗證設定路由和遠端存取(而非 Radius 驗證),您會在路由和遠端存取伺服器上看到此行為。

[1072] 15:47:57:280:不會忽略CRYPT_E_NO_REVOCATION_CHECK

[1072] 15:47:57:280:不會忽略CRYPT_E_REVOCATION_OFFLINE

[1072] 15:47:57:280:根憑證將不會核取撤銷

[1072] 15:47:57:280:憑證將檢查撤銷

[1072] 15:47:57:280:

[1072] 15:47:57:280: EapTlsMakeMessage(範例\client)

[1072] 15:47:57:280: >> 已接收回應(代碼:2) 封包:標識符:11,長度:25,類型:0,TLS Blob 長度:0。 旗標:

[1072] 15:47:57:280: EapTlsSMakeMessage

[1072] 15:47:57:280: EapTlsReset

[1072] 15:47:57:280:狀態變更為初始

[1072] 15:47:57:280: GetCredentials

[1072] 15:47:57:280:憑證中的名稱為:server.example.com

[1072] 15:47:57:312: BuildPacket

[1072] 15:47:57:312: << 傳送要求(代碼:1) 封包:標識符:12,長度:6,類型:13,TLS Blob 長度:0。 旗標:S

[1072] 15:47:57:312:狀態變更為 SentStart

[1072] 15:47:57:312:

[1072] 15:47:57:312: EapTlsEnd(範例\client)

[1072] 15:47:57:312:

[1072] 15:47:57:312: EapTlsEnd(範例\client)

[1072] 15:47:57:452:

[1072] 15:47:57:452: EapTlsMakeMessage(範例\client)

[1072] 15:47:57:452: >> 接收的響應(代碼:2) 封包:標識符:12,長度:80,類型:13,TLS Blob 長度:70。 旗標:L

[1072] 15:47:57:452: EapTlsSMakeMessage

[1072] 15:47:57:452: MakeReplyMessage

[1072] 15:47:57:452:重新配置輸入 TLS Blob 緩衝區

[1072] 15:47:57:452: SecurityContextFunction

[1072] 15:47:57:671:狀態變更為 SentHello

[1072] 15:47:57:671: BuildPacket

[1072] 15:47:57:671: << 傳送要求(代碼:1) 封包:標識符:13,長度:1498,類型:13,TLS Blob 長度:3874。 旗標:LM

[1072] 15:47:57:702:

[1072] 15:47:57:702: EapTlsMakeMessage(範例\client)

[1072] 15:47:57:702: >> 已接收回應(代碼:2) 封包:標識符:13,長度:6,類型:13,TLS Blob 長度:0。 旗標:

[1072] 15:47:57:702: EapTlsSMakeMessage

[1072] 15:47:57:702: BuildPacket

[1072] 15:47:57:702: << 傳送要求(代碼:1) 封包:標識符:14,長度:1498,類型:13,TLS Blob 長度:0。 旗標:M

[1072] 15:47:57:718:

[1072] 15:47:57:718: EapTlsMakeMessage(範例\client)

[1072] 15:47:57:718: >> 已接收回應(代碼:2) 封包:標識符:14,長度:6,類型:13,TLS Blob 長度:0。 旗標:

[1072] 15:47:57:718: EapTlsSMakeMessage

[1072] 15:47:57:718: BuildPacket

[1072] 15:47:57:718: << 傳送要求(代碼:1) 封包:標識符:15,長度:900,類型:13,TLS Blob 長度:0。 旗標:

[1072] 15:48:12:905:

[1072] 15:48:12:905: EapTlsMakeMessage(範例\client)

[1072] 15:48:12:905: >> 已接收回應(代碼:2) 封包:標識符:15,長度:6,類型:13,TLS Blob 長度:0。 旗標:

[1072] 15:48:12:905: EapTlsSMakeMessage

[1072] 15:48:12:905: MakeReplyMessage

[1072] 15:48:12:905: SecurityContextFunction

[1072] 15:48:12:905:狀態變更為 SentFinished。 錯誤:0x80090318

[1072] 15:48:12:905:交涉失敗

[1072] 15:48:12:905: BuildPacket

[1072] 15:48:12:905: << 傳送失敗 (代碼: 4) 封包: 標識符: 15, 長度: 4, 類型: 0, TLS Blob le

原因

如果下列所有條件都成立,就可能發生此問題:

  • IAS 或路由和遠端訪問伺服器是網域成員,但網路上中未設定自動憑證要求功能(自動註冊)。 或者,IAS 或路由和遠端訪問伺服器不是網域成員。
  • 您手動要求並接收 IAS 或路由和遠端存取伺服器的新憑證。
  • 您不會從 IAS 或路由和遠端存取伺服器中移除過期的憑證。 如果 IAS 或路由和遠端存取伺服器上存在過期的憑證與新的有效憑證,則客戶端驗證不會成功。 用戶端電腦上事件記錄檔中顯示的「錯誤0x80090328」結果會對應至「過期的憑證」。

因應措施

若要解決此問題,請移除過期的(封存)憑證。 如果要執行這項操作,請依照下列步驟執行:

  1. 開啟您在 IAS 伺服器上管理憑證儲存的 Microsoft 管理主控台 (MMC) 嵌入式管理單元。 如果您還沒有 MMC 嵌入式管理單元可檢視證書儲存的來源,請建立一個。 若要這樣做:
    1. 選取 [開始],選取 [執行],在 [開啟] 方塊中輸入 mmc,然後選取 [確定]。

    2. 在 [ 控制台 ] 功能表上( Windows Server 2003 中的 [檔案 ] 功能表),選取 [新增/移除嵌入式管理單元],然後選取 [ 新增]。

    3. 在 [可用的獨立嵌入式管理單元] 列表中,依序選取 [憑證]、[新增]、[計算機帳戶]、[下一步],然後選取 [完成]。

      注意

      您也可以將使用者帳戶和服務帳戶的憑證嵌入式管理單元新增至此 MMC 嵌入式管理單元。

    4. 選取 [關閉],然後選取 [確定]

  2. 在 [控制台根目錄] 底,選取 [憑證] [本機計算機]。
  3. 在 [ 檢視] 功能表上,選取 [ 選項]。
  4. 按兩下以選取 [ 封存憑證 ] 複選框,然後選取 [ 確定]。
  5. 展開 [ 個人],然後選取 [ 憑證]。
  6. 以滑鼠右鍵按兩下過期的數位證書,選取 [ 刪除],然後選取 [ ] 以確認移除過期的憑證。
  7. 結束 MMC 嵌入式管理單元。 您不需要重新啟動電腦或任何服務即可完成此程式。

其他相關資訊

Microsoft建議您設定自動憑證要求,以更新組織中的數字證書。 如需詳細資訊,請參閱 Windows XP 中的憑證自動註冊