Falha de autenticação do cliente TLS entre os pontos de comunicação unificada com um aviso de Schannel conectado

Os seguintes aplicativos falharem na criação de uma conexão TLS com seu ponto de comunicação unificada (UC):

• Microsoft Exchange Server
• Microsoft Office Communications Server
• Cliente Microsoft Communicator
• Cliente Microsoft® Office Live Meeting 2007
• Microsoft Lync Server
• Cliente Microsoft Lync

Além disso, o seguinte evento de aviso que descreve o problema é exibido no log de eventos do Windows Server:

Tipo de evento: aviso
Origem do evento: Schannel
Categoria de evento: nenhuma
Identificação de evento: 36885
Data: data
Hora: hora
Usuário:
Computador: nome_do_computador

Descrição: Ao solicitar a autenticação do cliente, este servidor envia uma lista de autoridades de certificação confiáveis para o cliente. O cliente usa essa lista para escolher um certificado de cliente que é confiável para o servidor. No momento, este servidor confia em tantas autoridades de certificação que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aqueles que realmente precisam ser confiáveis.

O servidor de comunicação unificada não passa as informações da autoridade de certificação correto para o cliente de comunicação unificada durante a negociação da conexão TLS.

• O servidor de comunicação unificada passa uma lista de informações da autoridade de certificação instalada para o cliente de comunicação unificada que solicita a conexão TLS segura.
• Essa lista será truncada de acordo com as limitações de design do componente Schannel de servidor do Windows.
• O cliente de comunicação unificada que solicitou a conexão TLS segura não recebe informações de autoridade de certificação que coincidem com as entradas na sua lista de autoridade de certificação instalada.
• A tentativa de conexão TLS falha com o erro listado na seção "Sintomas".

Esse problema ocorre devido ao projeto do componente Schannel do sistema operacional Windows Server que hospeda os aplicativos de comunicação unificada.

Os métodos listados aqui fornecem uma solução alternativa para o problema descrito na seção "Sintomas".

Método 1:Remova alguns certificados raiz confiáveis

Se alguns confiáveis certificados raiz não são usados em seu ambiente, você deve removê-los do servidor que hospeda o aplicativo de comunicação unificada. Para fazer isso, siga estes passos:

Observação As etapas que estão listadas aqui podem ser executadas no Windows Server 2003 e no Windows Server 2008.

1. Clique em Iniciar, clique em Executar, tipo MMCe, em seguida, clique em OK.
2. Sobre o Arquivo menu, clique em Adicionar/Remover Snap-ine, em seguida, clique em Adicionar.
3. No Adicionar Snap-in autônomo caixa de diálogo, clique em Certificadose, em seguida, clique em Adicionar.
4. Clique em Conta de computador, clique em Avançare, em seguida, clique em Concluir.
5. Clique em Fechare, em seguida, clique em OK.
6. Em Raiz do console no snap-in Microsoft Management Console (MMC), expanda Certificados (computador Local), expanda Autoridades de certificação raiz confiáveise, em seguida, clique em Certificados.
7. Remova certificados raiz confiáveis que não é necessário ter. Para fazer isso, um certificado com o botão direito, clique em Excluire, em seguida, clique em Sim para confirmar a remoção do certificado.

Observação Existem alguns certificados raiz que são exigidos pelo Windows. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Método 2:Configurar a diretiva de grupo para ignorar a lista de autoridades de certificação no computador que hospeda o cliente de comunicação unificada confiáveis

Se o servidor que hospeda o aplicativo de comunicação unificada é um membro de um domínio, você pode criar uma diretiva que faz com que o servidor para ignorar a lista de autoridades de certificação confiáveis no computador que hospeda o cliente de comunicação unificada. Quando você aplicar esta diretiva, os clientes e servidores afetados confiam somente os certificados que estão no armazenamento de autoridades de certificação raiz corporativa. Portanto, você não precisará modificar computadores individuais.

Observação As informações que estão listadas nas etapas 1 e 2 estão disponíveis apenas para o serviço de diretório do Active Directory do Windows Server 2003.

Para criar esta diretiva, execute estas etapas:

Etapa 1: Crie um objeto de diretiva de grupo. Para fazer isso, faça logon um controlador de domínio e, em seguida, inicie a ferramenta Active Directory Users and Computers.

1. Clique em Iniciar, clique em Executar, tipo DSA. msce, em seguida, clique em OK.
2. O recipiente em que você deseja configurar o objeto de diretiva de grupo e, em seguida, clique com o botão direito Propriedades. Por exemplo, o recipiente de domínio com o botão direito, ou um recipiente de unidade organizacional com o botão direito.
3. Clique no Diretiva de grupo guia e clique Novo.
4. Digite um nome descritivo para a diretiva e, em seguida, pressione Enter.
5. Clique em Editar para iniciar o Editor de objeto de diretiva de grupo.
6. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurançae, em seguida, clique em Diretivas de chave pública.
7. Com o botão direito Autoridades de certificação raiz confiáveise, em seguida, clique em Propriedades.
8. Clique em Autoridades de certificação raiz corporativae, em seguida, clique em OK.
9. Saia do Editor de objeto de diretiva de grupo.
10. Clique em OK para fechar o ObjectName propriedades caixa de diálogo.

Etapa 2: Adicione certificados raiz ao armazenamento de certificados de autoridades de certificação raiz confiáveis. Exporte todos os certificados raiz necessários do armazenamento do computador local do servidor apropriado. Isso inclui certificados raiz de autoridades de certificação interna (CAs) e certificados raiz de autoridades de certificação pública que sua organização requer.

1. Logon em um controlador de domínio e, em seguida, inicie a ferramenta Active Directory Users and Computers.
2. Clique com o botão direito no recipiente que contém o objeto de diretiva de grupo que você criou na "etapa 1: criar um GPO" seção e, em seguida, clique em Propriedades.
3. Clique no Diretiva de grupo guia, clique no objeto de diretiva de grupo e, em seguida, clique em Editar.
4. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurançae, em seguida, clique em Diretivas de chave pública.
5. Com o botão direito Autoridades de certificação raiz confiáveise, em seguida, clique em Importação.
6. Siga as etapas no Assistente para importação de certificados para importar o certificado raiz ou os certificados que você exportou na etapa 2A.
7. Saia do Editor de objeto de diretiva de grupo.
8. Clique em OK para fechar o ObjectName propriedades caixa de diálogo.
   

Observação Existem alguns certificados raiz que são exigidos pelo Windows. Você deve adicionar esses certificados na diretiva que você criou. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Método 3:Configurar Schannel para não mais enviar a lista de autoridades de certificação raiz confiável durante o processo de handshake TLS/SSL

Observação As etapas que estão listadas aqui podem ser executadas no Windows Server 2003 e no Windows Server 2008.

Aviso Podem ocorrer problemas graves se você modificar o registro incorretamente usando o Editor do Registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas podem ser resolvidos. Modifique o registro por responsabilidade própria.

No servidor que está executando o aplicativo de comunicação unificada em que você enfrentar esse problema, defina a seguinte entrada do registro como false:



Por padrão, essa entrada não está listada no registro. Por padrão, esse valor é 1 (verdadeiro). Essa entrada do registro controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação confiáveis para o cliente. Quando você definir essa entrada do registro como False, o servidor não envia uma lista de autoridades de certificação confiáveis ao cliente. Esse comportamento pode afetar como o cliente responde a uma solicitação de certificado. Por exemplo, se o Internet Explorer recebe uma solicitação de autenticação de cliente, o Internet Explorer exibe apenas os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que estão na lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação confiáveis, o Internet Explorer exibe todos os certificados de cliente que estão instalados no computador cliente.

Para definir essa entrada do registro, execute estas etapas:

1. Clique em Iniciar, clique em Executar, tipo Regedite, em seguida, clique em OK.
2. Localize e, em seguida, clique na seguinte subchave do registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
3. Sobre o Editar aponte para Novoe, em seguida, clique em Valor DWORD.
4. Digite SendTrustedIssuerList, e então pressione Enter para nomear a entrada do registro.
5. Com o botão direito SendTrustedIssuerListe, em seguida, clique em Modificar.
6. No Dados do valor caixa, digite 0 Se o valor não é já exibida e, em seguida, clique em OK.
7. Saia do Editor do registro.

Observação Existem alguns certificados raiz que são exigidos pelo Windows. Você deve adicionar esses certificados na diretiva que você criou. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Embora este fato não é observado na seção "Sintomas", esse problema pode ocorrer em todos os computadores que estão executando o Windows Server 2003 ou Windows Server 2008 e hospedam componentes de comunicação unificada da Microsoft Exchange, como as seguintes funções:

• Servidor acesso para cliente
• Caixa de correio
• Servidor de comunicação unificada
  

Os sistemas operacionais Windows Server use o mecanismo de atualização automática de raiz para baixar atualizações de autoridade de certificação do site Microsoft Windows Update quando um cliente requer uma conexão segura com TLS. Esse processo de atualização automatizada certificado faz com que o servidor acumular as informações de autoridade de certificação adicional é necessária para certificar-se de seguras UC cliente TLS solicitações de conexão. O componente do Windows Server Schannel empacota as informações da autoridade de certificação raiz para o cliente de comunicação unificada que requer a conexão TLS segura. O cliente de comunicação unificada irá comparar o conteúdo da lista de autoridade de certificação de Schannel raiz com sua própria lista de informações da autoridade de certificação. Esse processo certifica-se de que a correspondência de informações sobre o certificado raiz está presente na ambos os pontos de extremidade da conexão TCP para a continuidade do processo de handshake de TLS. No entanto, o componente do Windows Server Schannel pode empacotar somente uma quantidade limitada de informações da autoridade de certificação a instalado no Windows Server para o cliente de comunicação unificada que solicita a conexão TLS segura. Em alguns cenários, isso faz com que a comunicação unificada solicitação do cliente segura TLS conexão falhe.

Consulte as seções a seguir para obter mais informações sobre as diferenças de design para as configurações de atualização automática raiz Windows Server 2003 e Windows Server 2008 e sobre as limitações de lista de autoridade de certificação Schannel.

Windows Server 2003

No Windows Server 2003, a lista de emissores não pode ser maior do que 0x3000 ou 12.288 bytes. A instalação do Windows Server 2003 SP1 ou do hotfix do Windows Server 2003 SP2 KB933940 está listado na seção "Mais informações" fornece um emissor ampliado capacidade da lista de 16.384 ou 0x4000 bytes.

O mecanismo de atualização automática de raiz não está habilitado no Windows Server 2003. Windows Server 2003 oferece suporte para o mecanismo de atualização automática de raiz. Para obter mais informações sobre atualizações automáticas de raiz para o Server 2003, visite o seguinte site da Microsoft TechNet:

Windows Server 2008

No Windows Server 2008, a lista de emissores não pode ser maior do que 16.384 ou 0x4000 bytes.

Por padrão, o mecanismo de atualização automática de raiz está habilitado no Windows Server 2008 e em versões posteriores do Windows. Para obter mais informações sobre como gerenciar o mecanismo de atualização de raiz automática do Windows Server 2008, visite o seguinte site da Microsoft TechNet:


Para obter mais informações sobre o problema descrito na seção "Sintomas", clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft: