Falha na ligação TLS entre peers de comunicações unificadas gera um aviso de Schannel

Traduções de Artigos Traduções de Artigos
Artigo: 2464556 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Cada uma das seguintes aplicações não é possível criar uma ligação de Transport Layer Security (TLS) com peer de comunicações unificadas (UC) da aplicação:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Cliente de Microsoft Communicator
  • Cliente do Microsoft Office Live reunião 2007
  • Microsoft Lync Server
  • Cliente de Microsoft Lync
Além disso, recebe o seguinte aviso Schannel e a descrição do problema no registo de eventos de servidor do Windows:

Tipo de evento: aviso
Origem do evento: Schannel
Categoria de evento: nenhum
ID do evento: 36885
Data: data
Tempo: hora
Utilizador:
Computador: nomedocomputador

Descrição: Ao solicitar a autenticação de cliente, este servidor envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não deverão ser consideradas fidedignas.

Causa

Este problema ocorre porque o servidor UC passa as informações de autoridade de certificação correcto para o cliente UC durante a negociação da ligação TLS. Em vez disso, ocorre o seguinte cenário:

  • O servidor UC passa a lista fidedigna de certificados (CTL) de informações de autoridade de certificação instalada para o cliente UC que solicita a ligação TLS segura.
  • A CTL será truncada de acordo com as limitações de concepção do componente Schannel de servidor do Windows.
  • O cliente UC que pediu a ligação TLS segura não recebe informações de autoridade de certificação que corresponde as entradas que estão contidas na respectiva lista de autoridade de certificação instalada.
  • A tentativa de ligação TLS falha com o erro descrito na secção "Sintomas".

Este problema ocorre devido à concepção do componente do sistema operativo Windows Server que está a hospedar as aplicações de UC Schannel.

NotaPara mais informações sobre o Windows Server componente do sistema operativo do Schannel e as limitações da sua CTL, consulte o "Windows Server 2003," "Windows Server 2008 R2 e Windows Server 2008" e subsecções do "Windows Server 2012" da secção "Mais informação".

Como contornar

Os seguintes métodos de contornar o problema descrito na secção "Sintomas".

Método 1:Remover alguns certificados de raiz fidedigna


Aviso Deve cuidado quando remover certificados da autoridade de raiz fidedigna. A remoção de certificados de autoridade de raiz fidedigna de terceiros pode interromper o acesso de cliente seguro para aplicações alojadas no servidor baseado no Windows.

Se alguns fidedignos certificados de raiz não são utilizados no seu ambiente, deve removê-los a partir do servidor que hospeda a aplicação de UC. Para tal, siga estes passos:

Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003
  1. Clique em Iniciar, clique em Executar, tipo MMCe, em seguida, clique em OK.
  2. Sobre o ficheiro menu, clique em Adicionar/Remover Snap-ine, em seguida, clique em Adicionar.
  3. No Adicionar Snap-in autónomo caixa de diálogo, clique em certificadose, em seguida, clique em Adicionar.
  4. Clique na conta de computador, clique em seguintee, em seguida, clique em Concluir.
  5. Clique em Fechare, em seguida, clique em OK.
  6. Em raiz da consola no snap-in da consola Microsoft Management Console (MMC), expanda certificados (computador Local), expanda a Autoridades de certificação de raiz fidedignae, em seguida, clique em certificados.
  7. Remova certificados de raiz fidedigna que não é necessário ter. Para tal, um certificado com o botão direito, clique em Eliminare, em seguida, clique em Sim para confirmar que pretende remover o certificado.
InformaçõesPara obter mais informações sobre como automatizar a remoção e instalação, os certificados de autoridade de raiz fidedigna de terceiros que estão instalados nos sistemas operativos Windows Server, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

2801679 Problemas de comunicação de SSL/TLS, depois de instalar KB 931125

Informações Existem alguns certificados de raiz que são necessários pelo Windows. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

293781 Certificados de raiz que são requeridos pelo Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000 fidedignos

Método 2:Configurar a política de grupo para ignorar a lista de confiança de autoridades de certificação no computador que hospeda o cliente UC

Se o servidor que hospeda a aplicação de UC for um membro de um domínio, pode criar uma política que faz com que o servidor para ignorar a lista das autoridades de certificação fidedignas no computador que hospeda o cliente UC. Quando aplica esta política, os clientes e servidores afectados confiem apenas os certificados que se encontram no arquivo de autoridades de certificação de raiz empresarial. Por conseguinte, não é necessário que alterar a computadores individuais.

WindowsServidor 2008 R2 ou Windows Server 2008

Utilizar a política para distribuir certificados

WindowsServer 2003

Adicionar uma autoridade de certificação de raiz fidedigna a um objecto de política de grupo


Nota Existem alguns certificados de raiz que são necessários pelo Windows. Tem de adicionar estes certificados à política que criou. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

293781 Certificados de raiz que são requeridos pelo Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000 fidedignos

Método 3:Configurar o Schannel já não enviar a lista de autoridades de certificação de raiz fidedigna durante o processo de handshake TLS/SSL

Pode seguir estes passos no Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003.

Aviso Poderão ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Modificar o registo por sua conta e risco.

No servidor que esteja a executar a aplicação de UC em que tiver este problema, defina a seguinte entrada de registo como falso:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome do valor: SendTrustedIssuerList
Tipo de valor: REG_DWORD
Dados do valor: 0 (FALSO)


Por predefinição, esta entrada não está listada no registo. Por predefinição, este valor é 1 (verdadeiro). Esta entrada de registo controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação fidedignas para o cliente. Quando define esta entrada de registo como False, o servidor não envia uma lista de autoridades de certificação fidedignas para o cliente. Este comportamento pode afectar a forma como o cliente responde a um pedido de certificado. Por exemplo, se o Internet Explorer receber um pedido de autenticação de cliente, o Internet Explorer apresenta apenas os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que constam da lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação fidedignas, o Internet Explorer apresenta todos os certificados de cliente que estão instalados no computador cliente.

Para definir esta entrada de registo, siga estes passos:
  1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e, em seguida, clique na seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Sobre o Editar menu, aponte para Novoe, em seguida, clique em Valor DWORD.
  4. Tipo SendTrustedIssuerList, e, em seguida, prima Enter para atribuir um nome a entrada de registo.
  5. SendTrustedIssuerListcom o botão direito e, em seguida, clique em Modificar.
  6. No dados do valor , escreva0 se que o valor não é já apresentados e, em seguida, clique em OK.
  7. Sair do Editor de registo.
Nota Existem alguns certificados de raiz que são necessários pelo Windows. Tem de adicionar estes certificados à política que criou. Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

293781 Certificados de raiz que são requeridos pelo Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000 fidedignos

Mais Informação

Apesar de isto não é indicado na secção "Sintomas", este problema pode ocorrer em todos os computadores que executem o Windows Server 2003 ou Windows Server 2008 e hospedarem componentes de Microsoft Exchange Unified Communications, tais como as seguintes funções:
  • Servidor de acesso de cliente
  • Caixa de correio
  • Servidor de comunicações unificadas

Estes sistemas operativos do Windows Server pode utilizar o mecanismo de actualização de raízes automática para transferir actualizações da autoridade de certificação a partir do Web site Microsoft Windows Update quando um cliente requer uma ligação TLS segura. Este processo de actualização automática de certificado faz com que o servidor acumular as informações de autoridade de certificação adicional que é necessário certificar-se de seguros UC cliente TLS pedidos de ligação. O componente do Windows Server Schannel marshals as informações de autoridade de certificação de raiz para o cliente UC que requer a ligação TLS segura. O cliente UC vai comparar o conteúdo da Schannel CTL com a sua própria lista de informações de autoridade de certificação. Este processo garante que a correspondência de informações do certificado de raiz está presente em ambos os pontos finais da ligação TCP para a continuação da existência do processo de handshake de TLS. No entanto, o componente do Windows Server Schannel pode empacotar apenas uma quantidade limitada de informações de autoridade de certificação o Windows Server instalado na sua CTL para o cliente UC que solicita a ligação TLS segura. Em alguns cenários, isto faz com que seguro TLS pedido de ligação o cliente UC falhar.

Para mais informações sobre as diferenças de estrutura para a raiz de automática do Windows Server 2003 e Windows Server 2008 Actualize configurações e sobre as limitações de lista de autoridade de certificação de Schannel, consulte as seguintes secções.

Windows Server 2003


No Windows Server 2003, a lista de emissor não pode ser maior do que 12,288 (ou 0x3000) bytes. A instalação do Windows Server 2003 SP1 ou do Windows Server 2003 SP2 hotfix KB933940 listado na secção "Mais informação" fornece um emitente alargado bytes de capacidade de 16.384 ª (ou 0x4000) da lista.

O mecanismo de actualização de raízes automática não está activado no Windows Server 2003. Windows Server 2003 suporta o mecanismo de actualização de raízes automática. Para mais informações sobre actualizações de raízes automática para Server 2003, consulte o seguinte Web site da Microsoft TechNet:

Active a actualização automática de certificados de autoridade de raiz fidedigna

Windows Server 2008 R2 e Windows Server 2008


No Windows Server 2008, a lista de emissor não pode ser maior do que 16,384 (ou 0x4000) bytes.

Por predefinição, o mecanismo de actualização de raízes automática está activado no Windows Server 2008 e Windows Server 2008 R2. Para mais informações sobre como gerir o mecanismo de actualização de raízes automática, vá para o seguinte Web site da Microsoft TechNet:

Certificado de apoio e comunicações resultante para a Internet no Windows Server 2008

Servidor de Windows 2012

2012 De servidor do Windows não suporta a funcionalidade de Schannel CTL que existia em versões anteriores dos sistemas operativos Windows Server. Para mais informações sobre como o Windows Server 2012 gere certificados fidedignos, leia a secção de "Gestão de emissores fidedignos para autenticação de cliente" no seguinte artigo da Microsoft TechNet:
O que há de novo no TLS/SSL (Schannel SSP)

Para mais informações sobre o problema descrito na secção "Sintomas", clique nos números de artigo seguinte para visualizar os artigos na Microsoft Knowledge Base:

933430 Os clientes não consegue estabelecer ligações, se necessitar de certificados de cliente num Web site ou se utilizar o IAS no Windows Server 2003

931125 Membros do Windows root certificate program

Propriedades

Artigo: 2464556 - Última revisão: 22 de outubro de 2013 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Palavras-chave: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2464556

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com