Error en la conexión TLS entre interlocutores de comunicaciones unificadas genera una advertencia de Schannel

Seleccione idioma Seleccione idioma
Id. de artículo: 2464556 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Cada una de las siguientes aplicaciones no puede crear una conexión de seguridad de la capa de transporte (TLS) a nivel de comunicaciones unificadas (UC) de la aplicación:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Cliente de Microsoft Communicator
  • Cliente Microsoft® Office Live Meeting 2007
  • Microsoft Lync Server
  • Cliente Microsoft Lync
Además, recibirá la siguiente advertencia de Schannel y descripción del problema en el registro de sucesos de Windows Server:

Tipo de suceso: advertencia
Origen del suceso: Schannel
Categoría del suceso: ninguno
ID. de suceso: 36885
Fecha: fecha
Tiempo: hora
Usuario:
Equipo: nombreDeEquipo

Descripción: Al solicitar la autenticación de clientes, este servidor envía una lista de entidades emisoras de certificados de confianza para el cliente. El cliente utiliza esta lista para elegir un certificado de cliente que el servidor es de confianza. Actualmente, este servidor confía en tantas entidades emisoras de certificados que la lista es demasiado larga. Esta lista, por tanto, se ha truncado. El Administrador de este equipo debe revisar las entidades emisoras de certificados de confianza para la autenticación del cliente y quitarlos que realmente no es necesario que se confíe.

Causa

Este problema se produce porque el servidor de comunicaciones unificadas no pasa la información de la autoridad de certificación correcta al cliente de comunicaciones unificadas durante la negociación de la conexión TLS. En su lugar, se produce la situación siguiente:

  • El servidor de comunicaciones unificadas pasa su lista de certificados de confianza (CTL) de la información de entidad emisora de certificados instalados en el cliente de comunicaciones unificadas que solicita la conexión TLS segura.
  • La CTL se trunca según las limitaciones del diseño del componente Schannel de Windows Server.
  • El cliente de comunicaciones unificadas que solicitó la conexión TLS segura no recibe la información de entidad emisora de certificados que coincida con las entradas que figuran en su lista de entidades de certificación instalados.
  • Se produce un error en el intento de conexión TLS con el error que se describe en la sección "Síntomas".

Este problema se produce debido al diseño del componente del sistema operativo Windows Server que aloja las aplicaciones de comunicaciones unificadas Schannel.

NotaPara obtener más información acerca de componentes de Schannel del sistema operativo de Windows Server y las limitaciones de su CTL, consulte "Windows Server 2003", "Windows Server 2008 R2 y Windows Server 2008" y subsecciones de "Windows Server 2012" de la sección "Más información".

Solución

Los siguientes métodos de evitar el problema que se describe en la sección "Síntomas".

Método 1:Quitar algunos certificados raíz de confianza


Advertencia Se debe tener cuidado al quitar los certificados de entidad emisora raíz de confianza. La eliminación de certificados de entidad emisora raíz de confianza de terceros podría interrumpir el acceso seguro de clientes a las aplicaciones que se hospedan en el servidor basado en Windows.

Si algunos de confianza de certificados raíz no se utilizan en su entorno, debe quitarlos desde el servidor que hospeda la aplicación de las comunicaciones unificadas. Para ello, siga estos pasos:

Windows Server 2008 R2, Windows Server 2008 y Windows Server 2003
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo MMCy, a continuación, haga clic en Aceptar.
  2. En el archivo , haga clic en Agregar o quitar complementoy a continuación, haga clic en Agregar.
  3. En el Add Standalone Snap-in cuadro de diálogo, haga clic en certificadosy, a continuación, haga clic en Agregar.
  4. Haga clic en cuenta de equipo, haga clic en siguientey, a continuación, haga clic en Finalizar.
  5. Haga clic en Cerrary, a continuación, haga clic en Aceptar.
  6. Bajo raíz de consola en el complemento Microsoft Management Console (MMC), expanda certificados (equipo Local), expanda Entidades emisoras de certificados raíz de confianzay, a continuación, haga clic en certificados.
  7. Quitar certificados raíz de confianza que no tienes que tener. Para ello, haga clic en un certificado, haga clic en Eliminary, a continuación, haga clic en Si para confirmar que desea quitar el certificado.
InformaciónPara más información acerca de cómo automatizar la instalación de los certificados de entidad emisora raíz de confianza de terceros que están instalados en los sistemas operativos Windows Server y la eliminación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

2801679 Problemas de comunicación SSL/TLS después de instalar 931125 KB

Información Hay algunos certificados raíz que son requeridos por Windows. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

293781 Raíz certificados de confianza que son requeridos por Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP y Windows 2000

Método 2:Configurar la directiva de grupo para omitir la lista de confianza de entidades emisoras de certificados en el equipo que aloja al cliente de comunicaciones unificadas

Si el servidor que aloja la aplicación de comunicaciones unificadas es un miembro de un dominio, puede crear una directiva que hace que el servidor para omitir la lista de entidades emisoras de certificados de confianza en el equipo que aloja el cliente de comunicaciones unificadas. Cuando se aplica esta directiva, clientes y servidores afectados confiar en los certificados que se encuentran en el almacén de entidades de certificación raíz de empresa. Por lo tanto, no es necesario cambiar los equipos individuales.

WindowsSenera 2008 R2 o Windows Server 2008

Uso de directivas para distribuir certificados

WindowsServer 2003

Agregar una entidad emisora de certificados raíz de confianza a un objeto de directiva de grupo


Nota Hay algunos certificados raíz que son requeridos por Windows. Debe agregar estos certificados a la directiva que ha creado. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

293781 Raíz certificados de confianza que son requeridos por Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP y Windows 2000

Método 3:Configurar Schannel no volverá a enviar la lista de entidades emisoras de certificados raíz de confianza durante el proceso del protocolo de enlace TLS/SSL

Puede seguir estos pasos en Windows Server 2008 R2, Windows Server 2008 y Windows Server 2003.

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o con cualquier otro método. Estos problemas pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que estos problemas se pueden resolver. Modifique el registro bajo su responsabilidad.

En el servidor que está ejecutando la aplicación de las comunicaciones unificadas en la que experimenta este problema, establezca la entrada de registro siguiente en false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nombre de valor: SendTrustedIssuerList
Tipo de valor: REG_DWORD
Datos del valor: 0 (falso)


De manera predeterminada, esta entrada no aparece en el registro. De manera predeterminada, este valor es 1 (True). Esta entrada del Registro controla el indicador que controla si el servidor envía una lista de entidades emisoras de certificados de confianza para el cliente. Cuando esta entrada del registro se establece en False, el servidor envía al cliente una lista de entidades emisoras de certificados de confianza. Este comportamiento puede afectar a cómo el cliente responde a una solicitud de un certificado. Por ejemplo, si Internet Explorer recibe una solicitud de autenticación de cliente, Internet Explorer muestra sólo los certificados de cliente que aparecen en la cadena de una de las entidades emisoras que se encuentran en la lista desde el servidor. Sin embargo, si el servidor no envía una lista de entidades emisoras de certificados de confianza, Internet Explorer muestra todos los certificados de cliente instalados en el equipo cliente.

Para establecer esta entrada del registro, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, tipo Regedity, a continuación, haga clic en Aceptar.
  2. Busque y, a continuación, haga clic en la siguiente subclave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. En la Edición menú, seleccione nuevoy, a continuación, haga clic en Valor DWORD.
  4. Tipo SendTrustedIssuerList, y, a continuación, presione ENTRAR para asignar nombre a la entrada del registro.
  5. Haga clic en SendTrustedIssuerListy, a continuación, haga clic en Modificar.
  6. En el datos del valor , escriba0 Si valor no es ya mostrada y, a continuación, haga clic en Aceptar.
  7. Salga del Editor del registro.
Nota Hay algunos certificados raíz que son requeridos por Windows. Debe agregar estos certificados a la directiva que ha creado. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

293781 Raíz certificados de confianza que son requeridos por Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP y Windows 2000

Más información

Aunque esto no se indica en la sección "Síntomas", este problema puede ocurrir en todos los equipos que ejecutan Windows Server 2003 o Windows Server 2008 y alojan los componentes de comunicaciones unificadas de Microsoft Exchange como las siguientes funciones:
  • Servidor acceso de cliente
  • Buzón de correo
  • Servidor de comunicaciones unificadas

Estos sistemas operativos de Windows Server puede utilizar el mecanismo de actualización automática de raíz para descargar actualizaciones de la autoridad de certificación desde el sitio Web Microsoft Windows Update cuando un cliente requiere una conexión segura de TLS. Este proceso de actualización automática del certificado hace que el servidor acumular la información de autoridad de certificación adicionales que es necesario para asegurarse de que de solicitudes de conexión TLS seguras UC cliente. El componente de servidor de Windows Schannel calcula referencias de la información de autoridad de certificación raíz para el cliente de comunicaciones unificadas que requiere una conexión segura de TLS. El cliente de comunicaciones unificadas compara el contenido de la CTL Schannel con su propia lista de información de la autoridad de certificación. Este proceso garantiza que la información de certificado raíz coincidente está presente en ambos extremos de la conexión TCP para la continuidad del proceso de protocolo de enlace TLS. Sin embargo, el componente de servidor de Windows Schannel puede calcular referencias sólo una cantidad limitada de la autoridad de certificación de Windows Server instalado información en su CTL al cliente de comunicaciones unificadas que solicita la conexión TLS segura. En algunos casos, esto hace segura TLS solicitud de conexión del cliente de comunicaciones unificadas producirá un error.

Para obtener más información acerca de las diferencias de diseño para la raíz automática de Windows Server 2003 y Windows Server 2008 actualizar las configuraciones y limitaciones de lista de autoridad de certificación Schannel, vea las secciones siguientes.

Windows Server 2003


En Windows Server 2003, la lista de emisores no puede ser mayor que 12.288 (o 0 x 3000) bytes. La instalación de Windows Server 2003 SP1 o de Windows Server 2003 Service Pack 2 hotfix KB933940 que se enumeran en la sección "Más información" proporciona a un emisor ampliado bytes de lista de capacidad de 16.384 (o 0 x 4000).

El mecanismo de actualización automática de raíz no está habilitado en Windows Server 2003. Windows Server 2003 admite el mecanismo de actualización automática de raíz. Para obtener más información acerca de actualizaciones automáticas de raíz de Server 2003, visite el siguiente sitio Web de Microsoft TechNet:

Activar la actualización automática de certificados de entidades emisoras raíz de confianza

Windows Server 2008 R2 y Windows Server 2008


En Windows Server 2008, la lista de emisores no puede ser superior a 16.384 (o 0 x 4000) bytes.

De manera predeterminada, el mecanismo de actualización automática de raíz está habilitado en Windows Server 2008 y Windows Server 2008 R2. Para obtener más información acerca de cómo administrar el mecanismo de actualización automática de raíz, visite el siguiente sitio Web de Microsoft TechNet:

Certificado de asistencia técnica y comunicación resultante de Internet en Windows Server 2008

Windows Server 2012

Windows Server 2012 no admite la funcionalidad de Schannel CTL que estaba presente en versiones anteriores de los sistemas operativos Windows Server. Para obtener más información acerca de cómo administra Windows Server 2012 certificados de confianza, lea la sección "Administración de emisores de confianza para la autenticación de cliente" del siguiente artículo de Microsoft TechNet:
Novedades de TLS/SSL (Schannel SSP)

Para obtener más información acerca del problema que se describe en la sección "Síntomas", haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

933430 Los clientes no pueden establecer conexiones si requiere certificados de cliente en un sitio Web o si utiliza IAS en Windows Server 2003

931125 Programa de certificados raíz de Windows

Propiedades

Id. de artículo: 2464556 - Última revisión: lunes, 21 de octubre de 2013 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Palabras clave: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2464556

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com