Selhání připojení TLS mezi partnery používajícími sjednocené komunikace generuje varování zprostředkovatele Schannel

Překlady článku Překlady článku
ID článku: 2464556 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Každý z následujících aplikací nelze vytvořit připojení zabezpečení TLS (Transport Layer) s druhou stranou této aplikace unified communications (UC):
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Klient Microsoft Communicator
  • Klienta Microsoft Office Live schůzku 2007
  • Službě Lync serveru Microsoft
  • Klient Microsoft Lync
Dále se zobrazí následující upozornění Schannel a popis problému do protokolu událostí systému Windows Server:

Typ události: upozornění
Zdroj události: zprostředkovatel Schannel
Kategorie události: žádné
ID události: 36885
Datum: datum
Čas: čas
Uživatel:
Počítač: název_počítače

Popis: Pokud žádá o ověření klienta, server odešle seznam důvěryhodných certifikačních úřadů klienta. Klient používá tento seznam k výběru klientského certifikátu, který je důvěryhodný server. V současné době tento server důvěřuje tolika certifikačním úřadům seznam stal příliš dlouhým. Tento seznam byl proto zkrácen. Správce tohoto počítače zkontrolujte certifikačních autorit důvěryhodných pro ověření klienta a odebrat ty, které skutečně nemusí být důvěryhodný.

Příčina

K tomuto problému dochází, protože UC server nepředává informace o správné certifikačního úřadu zpět klientovi UC během vyjednávání připojení TLS. Místo toho následující situaci:

  • Seznam důvěryhodných certifikátů (CTL) instalace certifikačního úřadu informace odešle UC server na UC klienta, který požaduje zabezpečené připojení TLS.
  • Seznam důvěryhodných certifikátů je zkrácen podle návrhu omezení komponenty zprostředkovatele Schannel systému Windows Server.
  • UC klienta, který požaduje zabezpečené připojení TLS nepřijímá informace o certifikačním úřadu, který odpovídá na položky, které jsou obsaženy v seznamu instalace certifikačního úřadu.
  • Pokus o připojení TLS se nezdaří s chybou, která je popsána v části "Příznaky".

K tomuto problému dochází z důvodu návrhu zprostředkovatele Schannel součásti operačního systému Windows Server, který je hostitelem aplikací UC.

Poznámka: Další informace o součásti operačního systému Windows Server zprostředkovatele Schannel a omezení jeho důvěryhodných certifikátů naleznete v "Windows Server 2003," "Windows Server 2008 R2 a Windows Server 2008" a "Windows Server 2012" podsekce "Další informace" sekce.

Jak potíže obejít

Následující metody vyřešit problém popsaný v části "Příznaky".

Metoda 1:Odebrat některé důvěryhodné kořenové certifikáty


Upozornění: Buďte opatrní při odebrání certifikátů důvěryhodné kořenové autority. Odebrání certifikátů důvěryhodné kořenové autority jiných výrobců by mohlo poškodit zabezpečení klientského přístupu k aplikacím, které jsou hostovány na serveru se systémem Windows.

Pokud některé důvěryhodné kořenové certifikáty, které nejsou použity v prostředí, byste měli odebrat ze serveru, který je hostitelem aplikace UC. Postupujte následujícím způsobem

Windows Server 2008 R2, Windows Server 2008 a Windows Server 2003
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ konzoly MMCa potom klepněte na tlačítko OK.
  2. Na souboru nabídky, klepněte na tlačítko Přidat nebo odebrat modul Snap-ina klepněte na tlačítko Přidat.
  3. V přidat samostatný modul Snap-in dialogové okno, klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat.
  4. Klepněte na položku účet počítače, klepněte na tlačítko Dalšía potom klepněte na tlačítko Dokončit.
  5. Klepněte na tlačítko Zavříta potom klepněte na tlačítko OK.
  6. Ve skupinovém rámečku kořenový adresář konzoly v modulu snap-in konzola Microsoft Management Console (MMC), rozbalte položku certifikáty (místní), rozbalte Důvěryhodné kořenové certifikační úřadya potom klepněte na položku certifikáty.
  7. Odeberte důvěryhodné kořenové certifikáty, které není nutné mít. Klepněte pravým tlačítkem myši certifikát, klepněte na tlačítko Odstranita potom klepněte na tlačítko Ano k potvrzení odebrání osvědčení.
InformaceDalší informace o automatizaci, odstranění a instalace certifikátů důvěryhodné kořenové autority jiných výrobců nainstalované v systémech Windows Server získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

2801679 Komunikační protokol SSL/TLS problémy po instalaci KB 931125

Informace Existují některé kořenové certifikáty vyžadované v systému Windows. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:

293781 Důvěryhodné kořenové certifikáty vyžadované v systému Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP a Windows 2000

Metoda 2:Konfigurovat Zásady skupiny ignoruje seznam důvěryhodné certifikační autority v počítači, který hostuje UC klienta

Pokud server, který hostuje aplikaci UC je členem domény, můžete vytvořit zásadu, která způsobí, že server ignorovat seznam důvěryhodných certifikačních úřadů v počítači, který je hostitelem klienta UC. Použijete-li tuto zásadu, ohrožené servery a klienty důvěryhodné pouze certifikáty v úložišti kořenových certifikátů organizace. Proto není nutné měnit jednotlivé počítače.

Systém WindowsServeru 2008 R2 nebo Windows Server 2008

Použití zásad k distribuci certifikátů

Systém WindowsServer 2003

Přidání důvěryhodného kořenového certifikačního úřadu do objektu Zásady skupiny


Poznámka: Existují některé kořenové certifikáty vyžadované v systému Windows. Zásad, které jste vytvořili, je nutné přidat tyto certifikáty. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:

293781 Důvěryhodné kořenové certifikáty vyžadované v systému Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP a Windows 2000

Metoda 3:Konfigurovat zprostředkovatele Schannel odeslat již v seznamu důvěryhodných kořenových certifikačních úřadů v průběhu handshake TLS/SSL

Tento postup v systému Windows Server 2008 R2, Windows Server 2008 a Windows Server 2003.

Upozornění: Při nesprávné úpravě registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto potíže lze odstranit. Úpravy registru provádíte na vlastní nebezpečí.

Na serveru, na kterém je spuštěna aplikace UC, kdy k tomuto problému dochází nastavte následující položku registru na hodnotu false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Název hodnoty: SendTrustedIssuerList
Typ hodnoty: REG_DWORD
Údaj hodnoty: 0 (NEPRAVDA).


Tato položka není ve výchozím nastavení uvedeny v registru. Ve výchozím nastavení tato hodnota je 1 (pravda). Tato položka registru řídí příznak, který určuje, zda server odešle klientovi seznam důvěryhodných certifikačních úřadů. Pokud tato položka registru nastavíte na hodnotu False, neodešle server seznam důvěryhodných certifikačních úřadů klientovi. Toto chování může ovlivnit, jak klient odpoví na žádost o certifikát. Pokud aplikace Internet Explorer obdrží požadavek na ověřování klienta, aplikace Internet Explorer zobrazuje pouze klientské certifikáty, které se zobrazují v řetězci certifikačních úřadů, které jsou v seznamu ze serveru. Pokud server neodesílá seznam důvěryhodných certifikačních úřadů, zobrazí aplikace Internet Explorer všechny klientské certifikáty, které jsou nainstalovány v počítači klienta.

Chcete-li nastavit tuto položku registru, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ regedita potom klepněte na tlačítko OK.
  2. Vyhledejte a vyberte následující podklíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Na Úprava nabídce přejděte na příkaz Novýa klepněte na příkaz Hodnota DWORD.
  4. Zadejte příkaz SendTrustedIssuerList, a stisknutím klávesy Enter potvrďte název položky registru.
  5. Klepněte pravým tlačítkem myši SendTrustedIssuerLista potom klepněte na příkaz změnit.
  6. V Údaj hodnoty zadejte0 Pokud hodnota není zobrazena a klepněte na tlačítko OK.
  7. Ukončete Editor registru.
Poznámka: Existují některé kořenové certifikáty vyžadované v systému Windows. Zásad, které jste vytvořili, je nutné přidat tyto certifikáty. Další informace získáte kliknutím na číslo článku znalostní báze Microsoft Knowledge Base:

293781 Důvěryhodné kořenové certifikáty vyžadované v systému Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP a Windows 2000

Další informace

Ačkoli to není uvedeno v části "Příznaky", tento problém může nastat ve všech počítačích se systémem Windows Server 2003 nebo Windows Server 2008 a jsou hostiteli součásti Microsoft Exchange Unified Communications například následující role:
  • Server pro přístup klienta
  • Poštovní schránka
  • Unified Communications Server

Tyto operační systémy Windows Server lze stáhnout certifikační orgán aktualizace z webu Microsoft Windows Update, pokud klient požaduje zabezpečené připojení TLS mechanismus kořenové automatické aktualizace. Proces automatického certifikátu aktualizace způsobí, že server hromadit další certifikační orgán informace, které je potřeba zajistit zabezpečené požadavky připojení TLS UC klienta. Součást Windows Server Schannel zařazuje informace o certifikačním úřadu kořenový adresář řešení UC klienta vyžaduje zabezpečené připojení TLS. UC klienta porovná obsah seznamu CTL Schannel s vlastní seznam informace o certifikačním úřadu. Tento proces zajišťuje, že odpovídající informace kořenového certifikátu je přítomen v obou koncových bodech připojení TCP pro pokračování procesu TLS handshake. Komponenty zprostředkovatele Schannel systému Windows Server, však mohou sdružit pouze omezené množství informace o certifikačním úřadu Windows Server nainstalován v jeho seznamu CTL UC klientovi, který vyžaduje zabezpečené připojení TLS. V některých případech vyvolá UC klienta zabezpečení TLS požadavek na připojení nezdaří.

Další informace o rozdílech při návrhu pro automatické kořenový adresář systému Windows Server 2003 a Windows Server 2008 aktualizace konfigurace a o omezení Schannel certifikačního úřadu seznamu, naleznete v následujících částech.

Windows Server 2003


V systému Windows Server 2003, Vystavitel seznamu nesmí být větší než 12 288 (nebo 0x3000) bajtů. Instalace systému Windows Server 2003 SP1 nebo Windows Server 2003 SP2 opravy hotfix KB933940, která je uvedena v části "Další informace" poskytuje rozšířené emitenta seznam kapacitu 16384 (nebo 0x4000) bajtů.

Mechanismus kořenové automatické aktualizace není povolena v systému Windows Server 2003. Windows Server 2003 podporuje mechanismus kořenové automatické aktualizace. Další informace o automatické kořen aktualizace pro Server 2003 naleznete na následujícím webu Microsoft TechNet:

Zapnutí automatické aktualizace kořenových certifikátů důvěryhodného úřadu

Windows Server 2008 R2 a Windows Server 2008


V systému Windows Server 2008, Vystavitel seznamu nesmí být větší než 16384 (nebo 0x4000) bajtů.

Mechanismus aktualizace automatické kořenový adresář je ve výchozím nastavení povolena v systému Windows Server 2008 a Windows Server 2008 R2. Další informace o tom, jak spravovat mechanismus kořenové automatické aktualizace, přejděte na následující webu Microsoft TechNet:

Certifikát podporu a výsledné internetové komunikace v systému Windows Server 2008

Windows Server 2012

Windows Server 2012 nepodporuje funkce zprostředkovatele Schannel seznam důvěryhodných certifikátů, který byl obsažen v předchozích verzích operačních systémů Windows Server. Další informace o způsobu Windows Server 2012 spravuje certifikáty důvěryhodných naleznete v části "Správa důvěryhodných vystavitelů pro ověřování klientů" v následujícím článku Microsoft TechNet:
Co je nového v TLS/SSL (Schannel SSP)

Další informace o problému, který je popsán v části "Příznaky" získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

933430 Klienti nemůže navázat připojení, pokud vyžadovat klientské certifikáty na webu nebo pomocí služby IAS v systému Windows Server 2003

931125 Členové programu kořenových certifikátů systému Windows

Vlastnosti

ID článku: 2464556 - Poslední aktualizace: 21. října 2013 - Revize: 3.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Klíčová slova: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtcs
Strojově přeložený článek
DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.
Projděte si také anglickou verzi článku: 2464556

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com