Connessione TLS non riuscita tra Microsoft unified communications peer genera un avviso di Schannel

Traduzione articoli Traduzione articoli
Identificativo articolo: 2464556 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Ciascuna delle seguenti applicazioni non Ŕ possibile creare una connessione di Transport Layer Security (TLS) con peer Microsoft unified communications (UC) dell'applicazione:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Client di Communicator Microsoft
  • Microsoft« Office Live Meeting 2007 client
  • Microsoft Lync Server
  • Microsoft Lync client
Inoltre, viene visualizzato il seguente messaggio di avviso Schannel e la descrizione del problema nel registro eventi di Windows Server:

Tipo di evento: avviso
Origine evento: Schannel
Categoria evento: nessuno
ID evento: 36885
Data: data
Ora: ora
Utente:
Computer: nomecomputer

Descrizione: Quando richiedono l'autenticazione del client, il server invia un elenco di autoritÓ di certificazione attendibili al client. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, molte autoritÓ di certificazione che l'elenco Ŕ diventato troppo lungo ritenute attendibili dal server. Questo elenco Ŕ pertanto stato troncato. L'amministratore del computer deve esaminare le autoritÓ di certificazione attendibili per l'autenticazione client e rimuovere quelli che effettivamente non Ŕ necessario che sia attendibile.

Cause

Questo problema si verifica perchÚ il server UC non supera le informazioni di autoritÓ di certificazione corretta al client UC durante la negoziazione della connessione TLS. Al contrario, si verifica il seguente scenario:

  • Il server UC passa relativo elenco di certificati attendibili (CTL) di informazioni autoritÓ di certificazione installata nel client di comunicazioni unificate che richiede la connessione TLS protetta.
  • Il CTL Ŕ troncato secondo le limitazioni di progettazione del componente Windows Server Schannel.
  • Il client di comunicazioni unificate che ha richiesto la connessione TLS protetta non riceve informazioni di autoritÓ di certificazione che soddisfano le voci contenute nell'elenco di autoritÓ di certificazione installata.
  • Il tentativo di connessione TLS non riesce con l'errore descritto nella sezione "Sintomi".

Questo problema si verifica a causa della progettazione del componente del sistema operativo Windows Server che ospita le applicazioni UC Schannel.

Nota. Per ulteriori informazioni sul componente Schannel del sistema operativo Windows Server e le limitazioni del relativo elenco di certificati Attendibili, vedere "Windows Server 2003", "Windows Server 2008 R2 e Windows Server 2008" e "Windows Server 2012" sottosezione della sezione "Ulteriori informazioni".

Workaround

I seguenti metodi per risolvere il problema descritto nella sezione "Sintomi".

Metodo 1:Rimuovere alcuni certificati principali attendibili


Avviso. ╚ necessario prestare attenzione quando si rimuove i certificati delle autoritÓ principali attendibili. La rimozione dei certificati di autoritÓ principali attendibili di terze parti potrebbe interrompere accesso client protetto per le applicazioni ospitate sul server basato su Windows.

Se alcuni attendibili i certificati principali non sono utilizzati nel proprio ambiente, Ŕ necessario rimuoverli dal server che ospita l'applicazione UC. A tale scopo, attenersi alla seguente procedura:

Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003
  1. Fare clic su Start, scegliere Esegui, tipo MMC, quindi scegliere OK.
  2. Nella File menu, fare clic su Aggiungi/Rimuovi Snap-ine quindi fare clic su Aggiungi.
  3. Nella Aggiungi Standalone Snap-in nella finestra di dialogo, fare clic su certificatie quindi fare clic su Aggiungi.
  4. Fare clic su account del Computer, fare clic su Avantie quindi fare clic su Fine.
  5. Fare clic su Chiudie quindi fare clic su OK.
  6. In directory principale Console nello snap-in Microsoft Management Console (MMC) espandere certificati (Computer locale), espandere AutoritÓ di certificazione fonti attendibilie quindi fare clic su certificati.
  7. Rimuovere i certificati principali attendibili che non Ŕ necessario avere. A tale scopo, destro del mouse su un certificato, fare clic su Eliminae quindi fare clic su per confermare che si desidera rimuovere il certificato.
InformazioniPer ulteriori informazioni su come automatizzare la rimozione e l'installazione dei certificati di autoritÓ principali attendibili di terze parti installato nei sistemi operativi Windows Server, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

2801679 Problemi di comunicazione SSL/TLS dopo l'installazione 931125 KB

Informazioni Esistono alcuni certificati richiesti da Windows. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

293781 Certificati principali attendibili necessari per Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Metodo 2:Configurare criteri di gruppo per ignorare l'elenco di autoritÓ di certificazione sul computer che ospita il client di comunicazioni unificate di attendibili

Se il server che ospita l'applicazione UC Ŕ un membro di un dominio, Ŕ possibile creare un criterio che fa sý che il server per ignorare l'elenco delle autoritÓ di certificazione attendibili sul computer che ospita il client di comunicazioni unificate. Quando si applica questo criterio, i server interessati e i client attendibili solo i certificati nell'archivio AutoritÓ di certificazione radice. Pertanto, non Ŕ necessario modificare i singoli computer.

WindowsServer 2008 R2 o Windows Server 2008

Utilizzare i criteri per distribuire i certificati

WindowsServer 2003

Aggiungere un'autoritÓ di certificazione principale attendibile a un oggetto Criteri di gruppo


Nota. Esistono alcuni certificati richiesti da Windows. ╚ necessario aggiungere questi certificati per il criterio creato. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

293781 Certificati principali attendibili necessari per Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Metodo 3:Schannel configurare per l'invio non Ŕ pi¨ l'elenco delle autoritÓ di certificazione principale attendibile durante il processo di handshake TLS/SSL

╚ possibile attenersi alla seguente procedura in Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003.

Avviso. L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo pu˛ causare problemi gravi. Questi problemi possono richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

Sul server che esegue l'applicazione di comunicazioni unificate in cui si verifica questo problema, impostare la seguente voce del Registro di sistema su false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome valore: SendTrustedIssuerList
Tipo di valore: REG_DWORD
Dati valore: 0 (FALSO)


Per impostazione predefinita, questa voce non Ŕ elencata nel Registro di sistema. Per impostazione predefinita, questo valore Ŕ 1 (True). Questa voce del Registro di sistema controlla il flag che controlla se il server invia al client un elenco di autoritÓ di certificazione attendibili. Quando si imposta questa voce del Registro di sistema su False, il server non invia un elenco di autoritÓ di certificazione attendibili al client. Questo problema potrebbe riguardare il modo in cui il client risponde a una richiesta di certificato. Ad esempio, se Internet Explorer riceve una richiesta per l'autenticazione client, Internet Explorer visualizza solo i certificati client presenti nella catena di una delle autoritÓ di certificazione che l'elenco dal server. Tuttavia, se il server non invia un elenco di autoritÓ di certificazione attendibili, Internet Explorer consente di visualizzare tutti i certificati client sono installati nel computer client.

Per impostare questa voce del Registro di sistema, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Esegui, tipo Regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Nella Modifica menu, scegliere Nuovoe quindi fare clic su Valore DWORD.
  4. Tipo SendTrustedIssuerList, quindi premere INVIO per il nome della voce del Registro di sistema.
  5. Il pulsante destro del SendTrustedIssuerListe quindi fare clic su Modifica.
  6. Nel dati valore , digitare0 Se valore non Ŕ giÓ visualizzata e quindi fare clic su OK.
  7. Uscire dall'Editor del Registro di sistema.
Nota. Esistono alcuni certificati richiesti da Windows. ╚ necessario aggiungere questi certificati per il criterio creato. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

293781 Certificati principali attendibili necessari per Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Informazioni

Anche se questo non viene registrato nella sezione "Sintomi", questo problema pu˛ verificarsi in tutti i computer che eseguono Windows Server 2003 o Windows Server 2008 e che ospitano i componenti di Microsoft Exchange Unified Communications, ad esempio i seguenti ruoli:
  • Server accesso client
  • Cassetta postale
  • Microsoft Unified Communications Server

Questi sistemi operativi Windows Ŕ possibile utilizzare il meccanismo di aggiornamento automatico principale per scaricare gli aggiornamenti di autoritÓ di certificazione dal sito Web Microsoft Windows Update quando un client richiede una connessione TLS protetta. Questo processo di aggiornamento automatico del certificato, il server si accumulano le informazioni di autoritÓ supplementari di certificazione sono necessaria per assicurarsi di richieste di connessione TLS UC client protette. Il componente di Windows Server Schannel esegue il marshalling le informazioni di autoritÓ di certificazione radice per il client di comunicazioni unificate che richiede la connessione TLS protetta. Il client UC verrÓ confrontati con il contenuto del CTL Schannel con il relativo elenco di informazioni autoritÓ di certificazione. Questo processo assicura che le corrispondenti informazioni del certificato radice Ŕ presente in entrambi gli endpoint della connessione TCP per la continuitÓ del processo di handshake TLS. Tuttavia, il componente di Windows Server Schannel pu˛ effettuare il marshalling solo una quantitÓ limitata delle informazioni di autoritÓ di certificazione installato Windows Server nella sua CTL al client UC che richiede la connessione TLS protetta. In alcuni scenari, in questo modo sicura TLS richiesta di connessione del client UC non riesca.

Per ulteriori informazioni sulle differenze di progettazione per la radice di automatica di Windows Server 2003 e Windows Server 2008 aggiornamento delle configurazioni e sulle limitazioni di elenco AutoritÓ di certificazione Schannel, vedere le sezioni seguenti.

Windows Server 2003:


In Windows Server 2003, l'elenco di autoritÓ emittente non pu˛ essere maggiore di 12,288 (o 0x3000) byte. L'installazione di Windows Server 2003 SP1 o dell'aggiornamento rapido di Windows Server 2003 SP2 KB933940 elencati nella sezione "Informazioni" fornisce un emittente allargato byte di capacitÓ di 16.384 (o 0x4000).

Il meccanismo di aggiornamento automatico radice non Ŕ abilitato in Windows Server 2003. Windows Server 2003 supporta il meccanismo di aggiornamento automatico di radice. Per ulteriori informazioni sugli aggiornamenti automatici radice per Server 2003, visitare il seguente sito Web Microsoft TechNet:

Attivare l'aggiornamento automatico dei certificati di autoritÓ principali attendibili

Windows Server 2008 R2 e Windows Server 2008


In Windows Server 2008, l'elenco di autoritÓ emittente non pu˛ essere maggiore di 16.384 (o 0x4000) byte.

Per impostazione predefinita, il meccanismo di aggiornamento automatico radice Ŕ attivato in Windows Server 2008 e Windows Server 2008 R2. Per ulteriori informazioni su come gestire il meccanismo di aggiornamento automatico di radice, visitare il seguente sito Web Microsoft TechNet:

Supporto dei certificati e comunicazioni Internet risultante in Windows Server 2008

Windows Server 2012

Windows Server 2012 non supporta la funzionalitÓ di Schannel CTL era presente nelle versioni precedenti dei sistemi operativi Windows Server. Per ulteriori informazioni sulle modalitÓ di gestione dei certificati attendibili in Windows Server 2012, leggere la sezione "Gestione delle certificazioni attendibili per l'autenticazione client" del seguente articolo Microsoft TechNet:
NovitÓ di TLS/SSL (Schannel SSP)

Per ulteriori informazioni sul problema descritto nella sezione "Sintomi", fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:

933430 I client non possono effettuare connessioni se si richiedono i certificati client in un sito Web o se si utilizza il servizio IAS in Windows Server 2003

931125 Membri Windows root certificate program

ProprietÓ

Identificativo articolo: 2464556 - Ultima modifica: martedý 22 ottobre 2013 - Revisione: 4.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Chiavi:á
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2464556
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com