Falha de conexão TLS entre pontos de comunicação unificada gera um aviso do Schannel

Traduções deste artigo Traduções deste artigo
ID do artigo: 2464556 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Cada um dos seguintes aplicativos não é possível criar uma conexão de segurança de camada de transporte (TLS) com o mesmo nível de comunicações unificadas (UC) do aplicativo:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Cliente Microsoft Communicator
  • Cliente de Microsoft® Office Live Meeting 2007
  • Microsoft Lync Server
  • Cliente do Microsoft Lync
Além disso, você recebe o seguinte aviso Schannel e a descrição do problema no log de eventos do Windows Server:

Tipo de evento: aviso
Origem do evento: Schannel
Categoria do evento: nenhuma
Identificação do evento: 36885
Data: data
Hora: hora
Usuário:
Computador: nome_do_computador

Descrição: Ao solicitar a autenticação do cliente, o servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente é confiável para o servidor. No momento, este servidor confia em tantas autoridades de certificação que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aquelas em que não é realmente necessário para serem confiáveis.

Causa

Esse problema ocorre porque o servidor de comunicação unificada não passa as informações de autoridade de certificação correta para o cliente de comunicação unificada durante a negociação da conexão TLS. Em vez disso, ocorre a seguinte situação:

  • O servidor de comunicação unificada passa a lista de certificados confiáveis (CTL) de informações de autoridade de certificação instalada para o cliente de comunicação unificada que solicita a conexão TLS segura.
  • Lista de certificados confiáveis será truncada de acordo com as limitações de design do componente Windows Server Schannel.
  • O cliente de comunicação unificada que solicitou a conexão TLS segura não recebe informações de autoridade de certificação que coincidem com as entradas que estão na sua lista de autoridade de certificação instalada.
  • A tentativa de conexão TLS falha com o erro descrito na seção "Sintomas".

Esse problema ocorre devido ao projeto do componente Schannel do sistema operacional Windows Server que hospeda os aplicativos de comunicação unificada.

ObservaçãoPara obter mais informações sobre as limitações da sua lista de certificados confiáveis e o componente do Schannel do sistema operacional Windows Server, consulte o "Windows Server 2003", "Windows Server 2008 R2 e Windows Server 2008" e subseções de "Windows Server 2012" da secção "Mais informação".

Como Contornar

Os seguintes métodos como solução alternativa para o problema descrito na seção "Sintomas".

Método 1:Remover alguns certificados raiz confiáveis


Aviso Você deve ter cuidado ao remover certificados de autoridade raiz confiável. A remoção de certificados de autoridades raiz confiáveis de terceiros pode ser desfeito acesso cliente seguro para aplicativos que são hospedados no servidor baseado no Windows.

Se alguns confiáveis certificados raiz não são usados no seu ambiente, você deve removê-los do servidor que hospeda o aplicativo de comunicação unificada. Para fazer isso, execute as seguintes etapas:

Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003
  1. Clique em Iniciar, Executar, tipo MMCe, em seguida, clique em OK.
  2. Sobre o arquivo menu, clique em Adicionar/Remover Snap-ine, em seguida, clique em Adicionar.
  3. No Add Standalone Snap-in caixa de diálogo, clique em certificadose, em seguida, clique em Adicionar.
  4. Clique em conta de computador, clique em Avançare, em seguida, clique em Concluir.
  5. Clique em Fechare, em seguida, clique em OK.
  6. Em raiz do Console no snap-in Microsoft Management Console (MMC), expanda certificados (computador Local), expanda Autoridades de certificação raiz confiáveise, em seguida, clique em certificados.
  7. Remova certificados raiz confiáveis que você não precisa ter. Para fazer isso, clique em um certificado, clique em Excluire, em seguida, clique em Sim para confirmar que você deseja remover o certificado.
InformaçõesPara saber mais sobre como automatizar a remoção e instalação dos certificados de autoridade raiz confiável de terceiros estão instalados em sistemas operacionais Windows Server, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:

2801679 Problemas de comunicação SSL/TLS, depois que você instalar 931125 KB

Informações Existem alguns certificados raiz que são exigidos pelo Windows. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:

293781 Certificados raiz confiáveis que são exigidos pelo Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Método 2:Configurar a diretiva de grupo para ignorar a lista de confiáveis autoridades de certificação no computador que hospeda o cliente de comunicação unificada

Se o servidor que hospeda o aplicativo de comunicação unificada é um membro de um domínio, você pode criar uma diretiva que faz com que o servidor para ignorar a lista de autoridades de certificação confiáveis no computador que hospeda o cliente de comunicação unificada. Quando você aplicar esta diretiva, os clientes e servidores afetados confiam somente os certificados no armazenamento de autoridades de certificação raiz corporativa. Portanto, você não precisa alterar a computadores individuais.

WindowsSeservidor & 2008 R2 ou o Windows Server 2008

Usar diretiva para distribuir certificados

WindowsServer 2003

Adicionar uma autoridade de certificação raiz confiável a um objeto de diretiva de grupo


Observação Existem alguns certificados raiz que são exigidos pelo Windows. Você deve adicionar esses certificados na diretiva que você criou. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:

293781 Certificados raiz confiáveis que são exigidos pelo Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Método 3:Configurar Schannel para não enviar a lista de autoridades de certificação raiz confiáveis durante o processo de handshake do TLS/SSL

Você pode seguir estas etapas no Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003.

Aviso Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que esses problemas possam ser resolvidos. Modificar o registro de sua responsabilidade.

No servidor que está executando o aplicativo de comunicação unificada em que você enfrentar esse problema, configure a seguinte entrada do registro como false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome do valor: SendTrustedIssuerList
Tipo do valor: REG_DWORD
Dados do valor: 0 (FALSO)


Por padrão, essa entrada não estiver listada no registro. Por padrão, esse valor é 1 (verdadeiro). Essa entrada do registro controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação confiáveis ao cliente. Quando você definir essa entrada do registro como False, o servidor não envia uma lista de autoridades de certificação confiáveis ao cliente. Esse comportamento pode afetar como o cliente responde a uma solicitação para um certificado. Por exemplo, se o Internet Explorer recebe uma solicitação de autenticação de cliente, o Internet Explorer exibe apenas os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que estão na lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação confiáveis, o Internet Explorer exibirá todos os certificados de cliente instalados no computador cliente.

Para definir essa entrada do registro, execute essas etapas:
  1. Clique em Iniciar, Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Sobre o Editar menu, aponte para novoe, em seguida, clique em Valor DWORD.
  4. Tipo SendTrustedIssuerList, e então pressione Enter para nomear a entrada do registro.
  5. Clique com o botão SendTrustedIssuerListe, em seguida, clique em Modificar.
  6. No dados do valor , digite0 Se o valor não é exibida e, em seguida, clique em OK.
  7. Saia do Editor do registro.
Observação Existem alguns certificados raiz que são exigidos pelo Windows. Você deve adicionar esses certificados na diretiva que você criou. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:

293781 Certificados raiz confiáveis que são exigidos pelo Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Mais Informações

Embora isso não é observado na seção "Sintomas", esse problema pode ocorrer em todos os computadores que estão executando o Windows Server 2003 ou Windows Server 2008 e hospedam componentes de comunicação unificada da Microsoft Exchange, como as seguintes funções:
  • Servidor acesso para cliente
  • Caixa de correio
  • Servidor de comunicação unificada

Esses sistemas operacionais de servidor Windows pode usar o mecanismo de atualização automática de raiz para baixar atualizações de autoridade de certificação do site Microsoft Windows Update quando um cliente exige uma conexão TLS segura. Esse processo de atualização automática de certificados faz com que o servidor acumular as informações de autoridade de certificação adicionais necessários para certificar-se de comunicação unificada segura TLS cliente solicitações de conexão. O componente Windows Server Schannel controla as informações de autoridade de certificação raiz para o cliente de comunicação unificada que requer a conexão TLS segura. O cliente de comunicação unificada irá comparar o conteúdo do Schannel CTL com sua própria lista de informações de autoridade de certificação. Esse processo garante que a correspondência de informações sobre o certificado raiz está presente em ambas as extremidades da conexão TCP para a continuidade do processo de handshake do TLS. No entanto, o componente do Windows Server Schannel pode empacotar somente uma quantidade limitada de informações da autoridade de certificação do Windows Server instalado em sua lista de certificados confiáveis para o cliente de comunicação unificada que solicita a conexão TLS segura. Em alguns cenários, isso faz com que a comunicação unificada solicitação do cliente segura TLS conexão falhe.

Para obter mais informações sobre diferenças de design para a Windows Server 2003 e Windows Server 2008 automática de raiz atualizar configurações e sobre as limitações de lista de autoridade de certificação Schannel, consulte as seções a seguir.

Windows Server 2003


No Windows Server 2003, a lista de emissores não pode ser maior do que 12,288 (ou 0x3000) bytes. A instalação do Windows Server 2003 SP1 ou do Windows Server 2003 SP2 hotfix KB933940 está listado na seção "Mais informações" fornece um emissor ampliado bytes de capacidade de 16.384 (ou 0x4000) da lista.

O mecanismo de atualização automática de raiz não está habilitado no Windows Server 2003. Windows Server 2003 oferece suporte para o mecanismo de atualização automática de raiz. Para obter mais informações sobre atualizações automáticas raiz para o Server 2003, consulte o seguinte site da Microsoft TechNet:

Ativar atualização automática de certificados de autoridades raiz confiáveis

Windows Server 2008 R2 e Windows Server 2008


No Windows Server 2008, a lista de emissores não pode ser maior do que 16.384 (ou 0x4000) bytes.

Por padrão, o mecanismo de atualização automática de raiz está habilitado no Windows Server 2008 e Windows Server 2008 R2. Para obter mais informações sobre como gerenciar o mecanismo de atualização automática de raiz, visite o seguinte site da Microsoft TechNet:

Certificado de suporte e comunicação resultante com a Internet no Windows Server 2008

Windows Server 2012

O Windows Server 2012 não suporta a funcionalidade de Schannel CTL estava presente em versões anteriores dos sistemas operacionais Windows Server. Para obter mais informações sobre como o Windows Server 2012 gerencia certificados confiáveis, leia a seção "Gerenciamento de emissores confiáveis para autenticação de cliente" do seguinte artigo da Microsoft TechNet:
O que há de novo no TLS/SSL (Schannel SSP)

Para obter mais informações sobre o problema que é descrito na seção "Sintomas", clique nos números abaixo para ler os artigos na Base de dados de Conhecimento Microsoft:

933430 Os clientes não podem estabelecer conexões se você exigir certificados de cliente em um site ou se você usar o IAS no Windows Server 2003

931125 Membros do programa de certificado do Windows raiz

Propriedades

ID do artigo: 2464556 - Última revisão: terça-feira, 22 de outubro de 2013 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
Palavras-chave: 
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 2464556

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com