统一通信的对等方使用 Schannel 警告记录之间的 TLS 客户端身份验证失败

文章编号: 2464556 - 查看本文应用于的产品
机器翻译查看机器翻译免责声明
展开全部 | 关闭全部

本页

症状

下列应用程序在其统一通信 (UC) 对等方使用创建的 TLS 连接失败:
  • Microsoft Exchange Server
  • Microsoft Office 通信服务器
  • Microsoft Communicator 客户端
  • Microsoft? Office Live 会议 2007年客户端
  • Microsoft Lync Server
  • Microsoft Lync 客户端
此外,在 Windows 服务器事件日志中将显示描述该问题的以下警告事件:

事件类型: 警告
事件源: Schannel
事件类别: 无
事件 ID: 36885
日期: 日期
时间: 时间
用户:
计算机: 计算机名

描述: 在要求客户端身份验证,此服务器发送的受信任的证书颁发机构的列表到客户端。客户端使用此列表选择受信任的服务器的客户端证书。目前,此服务器信任太多证书颁发机构列表已变得太长。此列表已因此被截断。此计算机的管理员应检查受信任的客户端身份验证的证书颁发机构并删除那些实际上不需要受信任。

回到顶端 | 提供反馈

原因

UC 服务器没有通过正确的证书颁发机构信息回发到统一通信客户端 TLS 连接的协商过程中。

  • UC 服务器传递到统一通信客户端请求安全的 TLS 连接的已安装的证书颁发机构信息的一个列表。
  • 根据 Windows 服务器 Schannel 组件的设计限制,此列表将被截断。
  • 请求安全的 TLS 连接的统一通信客户端没有收到其已安装的证书颁发机构列表中的条目匹配的证书颁发机构信息。
  • TLS 连接尝试失败,并在"症状"部分中列出的错误。

因为 Windows 服务器操作系统的统一通信应用程序承载的 Schannel 组成部分的设计,会出现此问题。
回到顶端 | 提供反馈

替代方法

下面列出了这些方法对于"症状"一节所述的问题提供解决方法。

方法 1:删除某些受信任的根证书

如果某些受信任的根证书不在您的环境中使用,请从服务器承载的统一通信应用程序将其删除。若要执行此操作,请按照下列步骤。

注意在 Windows Server 2003 和 Windows Server 2008 中,可以执行此处列出的步骤。

  1. 单击 开始单击 运行键入 mmc然后单击 确定.
  2. 在上 文件 菜单上,单击 添加/删除管理单元然后单击 添加.
  3. 在中 添加独立管理单元 对话框中,单击 证书然后单击 添加.
  4. 单击 计算机帐户单击 下一步然后单击 完成.
  5. 单击 关闭然后单击 确定.
  6. 在下 控制台根节点 在 Microsoft 管理控制台 (MMC) 管理单元中,展开 证书 (本地计算机)展开 受信任的根证书颁发机构然后单击 证书.
  7. 删除您不需要具有受信任的根证书。若要这样做,请用鼠标右键单击证书单击 删除然后单击 若要确认删除该证书。
注意有一些所需的 Windows 的根证书。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

293781
(http://support.microsoft.com/kb/293781)
所需通过 Windows Server 2008 R2、 通过 Windows 7、 通过 Windows Server 2008、 通过 Windows Vista、 Windows Server 2003、 Windows XP 中,通过和 Windows 2000 的受信任的根证书

方法 2:将组策略配置为忽略列表中的受信任的承载统一通信客户端计算机上的证书颁发机构

统一通信应用程序宿主的服务器是域的成员,如果统一通信客户端可以创建一个策略,该主机将导致服务器忽略计算机上受信任的证书颁发机构的列表。在应用此策略时,受影响的服务器和客户端只信任证书的企业根证书颁发机构存储区中。因此,您不必修改个别计算机。

注意在步骤 1 和 2 中列出的信息是仅适用于 Windows 服务器 2003 活动目录(AD) 目录服务。

若要创建此策略,请按照下列步骤操作:

第 1 步:创建组策略对象。若要这样做,请登录到域控制器,然后启动 活动目录(AD) 用户和计算机的工具。
  1. 单击 开始单击 运行键入 dsa.msc然后单击 确定.
  2. 用鼠标右键单击要配置的组策略对象,然后单击的容器 属性.例如,用鼠标右键单击域容器中,或用鼠标右键单击组织单位容器。
  3. 单击 组策略 选项卡,然后单击 .
  4. 键入策略的描述性名称,然后按 Enter 键。
  5. 单击 编辑 若要启动组策略对象编辑器。
  6. 展开 计算机配置展开 Windows 设置展开 安全设置然后单击 公钥策略.
  7. 用鼠标右键单击 受信任的根证书颁发机构然后单击 属性.
  8. 单击 企业根证书颁发机构然后单击 确定.
  9. 退出组策略对象编辑器。
  10. 单击 确定 若要关闭 对象名称属性 对话框。
第 2 步:将根证书添加到受信任的根证书颁发机构证书存储区。从相应的服务器的本地计算机存储中导出任何所需的根证书。这包括内部证书颁发机构 (Ca) 的根证书,并为您的组织需要的公用证书颁发机构的根证书。
  1. 登录到域控制器,然后启动 活动目录(AD) 用户和计算机的工具。
  2. 用鼠标右键单击包含您在中创建的组策略对象的容器"步骤 1: 创建组策略对象"部分,然后再单击 属性.
  3. 单击 组策略 选项卡上,单击组策略对象,然后单击 编辑.
  4. 展开 计算机配置展开 Windows 设置展开 安全设置然后单击 公钥策略.
  5. 用鼠标右键单击 受信任的根证书颁发机构然后单击 导入.
  6. 在证书导入向导导入根证书或您在步骤 2A 中导出的证书的步骤。
  7. 退出组策略对象编辑器。
  8. 单击 确定 若要关闭 对象名称属性 对话框。
注意有一些所需的 Windows 的根证书。您必须将这些证书添加到您创建的策略。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

293781
(http://support.microsoft.com/kb/293781)
所需通过 Windows Server 2008 R2、 通过 Windows 7、 通过 Windows Server 2008、 通过 Windows Vista、 Windows Server 2003、 Windows XP 中,通过和 Windows 2000 的受信任的根证书

方法 3:配置 Schannel 不再发送 TLS/SSL 握手过程中受信任的根证书颁发机构的列表

注意在 Windows Server 2003 和 Windows Server 2008 中,可以执行此处列出的步骤。

警告如果您通过使用注册表编辑器或使用另一种方法对注册表修改不当,则可能会出现严重的问题。这些问题可能要求您重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。

服务器上正在运行统一通信的应用程序在其遇到此问题,下面的注册表项设置为 false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

值名称: SendTrustedIssuerList
值类型: REG_DWORD
值数据: 0 (假)


默认情况下,通过在注册表中未列出此项。默认情况下此值为 1 (True)。此注册表项控制该标志,用于控制是否服务器发送到客户端的受信任的证书颁发机构的列表。当该注册表项设置为 False 时,服务器不发送到客户端的受信任的证书颁发机构的列表。此行为可能会影响客户端对证书请求的响应方式。例如,如果 Internet Explorer 收到请求进行客户端身份验证时,Internet Explorer 之一的从服务器列表中的证书颁发机构链中显示出现的客户端证书。但是,如果服务器不发送的受信任的证书颁发机构列表,Internet Explorer 将显示在客户端计算机上安装的所有客户端证书。

若要设置该注册表项,请按照下列步骤操作:
  1. 单击 开始单击 运行键入 注册表编辑器然后单击 确定.
  2. 找到并单击以下注册表子项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 在上 编辑 菜单上指向 然后单击 双字节值.
  4. 键入 SendTrustedIssuerList然后按 Enter 来命名的注册表项。
  5. 用鼠标右键单击 SendTrustedIssuerList然后单击 修改.
  6. 在中 数值数据 框中键入 0 如果值不是已显示,,然后单击 确定.
  7. 退出注册表编辑器。
注意有一些所需的 Windows 的根证书。您必须将这些证书添加到您创建的策略。有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

293781
(http://support.microsoft.com/kb/293781)
所需通过 Windows Server 2008 R2、 通过 Windows 7、 通过 Windows Server 2008、 通过 Windows Vista、 Windows Server 2003、 Windows XP 中,通过和 Windows 2000 的受信任的根证书

回到顶端 | 提供反馈

更多信息

尽管这一事实不与"症状"一节中所述,可以在正在运行 Windows Server 2003 或 Windows Server 2008 以及承载 Microsoft Exchange 统一通信组件,如下列角色的所有计算机上发生此问题:
  • 客户端访问服务器
  • 邮箱
  • 统一的通信服务器

在 Windows Server 操作系统使用自动根更新机制从 Microsoft Windows Update 网站下载证书颁发机构更新,当客户端需要一个安全的 TLS 连接。此证书自动的更新过程会导致积累需要确保安全统一通信客户端 TLS 连接请求的其他证书颁发机构信息的服务器。Windows 服务器 Schannel 组件将封送到统一通信客户端需要安全的 TLS 连接的根证书颁发机构的信息。统一通信客户端将比较 Schannel 根证书颁发机构列表具有其自己的证书颁发机构信息列表的内容。此过程可确保所匹配的根证书的信息存在 TCP 连接的两个端点处用于 TLS 握手过程的连续性。但是,Windows 服务器 Schannel 组件可以封送只有有限的回统一通信客户端请求安全的 TLS 连接的 Windows 服务器安装证书颁发机构的信息。在某些情况下,这会导致在统一通信客户端安全的 TLS 连接请求失败。

以下各节有关设计为 Windows Server 2003 和 Windows Server 2008 自动根更新配置上的差异以及 Schannel 证书颁发机构列表限制的详细信息,请参阅。

Windows Server 2003


在 Windows Server 2003 中,颁发者列表不能大于 12288 或 0x3000 字节为单位)。或 Windows Server 2003 SP2 修补程序 KB933940 的"更多信息"一节中列出的 Windows Server 2003 SP1 的安装提供了一个放大的颁发者 16384 或 0x4000 列表容量字节为单位)。

在 Windows Server 2003 中未启用自动根更新机制。Windows Server 2003 支持自动根更新机制。有关自动根服务器 2003年更新的详细信息,请访问以下 Microsoft TechNet 网站:

打开自动更新受信任的根证书颁发机构
(http://technet.microsoft.com/en-us/library/cc786443(WS.10).aspx)


Windows 2008 Server


在 Windows Server 2008,颁发者列表不能大于 16384 或 0x4000 字节为单位)。

默认情况下在 Windows Server 2008 和更高版本的 Windows 中启用自动根更新机制。有关如何管理 Windows Server 2008 自动根更新机制,请访问以下 Microsoft TechNet 网站的详细信息:

证书支持和 Windows Server 2008 中的生成 Internet 通信
(http://technet.microsoft.com/en-us/library/cc771121(WS.10).aspx)


有关"症状"一节所述问题的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

933430
(http://support.microsoft.com/default.aspx?scid=kb;EN-US;933430)
如果您需要在 Web 站点上的客户端证书,或者如果您在 Windows Server 2003 中使用 IAS,客户端无法建立连接

931125
(http://support.microsoft.com/default.aspx?scid=kb;EN-US;931125)
Windows 根证书程序成员

回到顶端 | 提供反馈

属性

文章编号: 2464556 - 最后修改: 2012年11月20日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Lync Server 2013
  • Microsoft Lync Server 2010 Enterprise Edition
  • Microsoft Lync Server 2010 Standard Edition
  • Microsoft Office Communications Server 2007 R2 Enterprise Edition
  • Microsoft Office Communications Server 2007 R2 Standard Edition
  • Microsoft Office Communications Server 2007 Standard Edition
  • Microsoft Office Communications Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Enterprise
  • Microsoft Exchange Server 2007 Enterprise Edition
  • Microsoft Exchange Server 2010 Standard
  • Microsoft Exchange Server 2007 Standard Edition
  • Microsoft Office Live Meeting 2007
关键字:?
kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2464556
(http://support.microsoft.com/kb/2464556/en-us/ )
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端