Problemas de comunicación SSL/TLS después de instalar 931125 KB

Seleccione idioma Seleccione idioma
Id. de artículo: 2801679 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Después del 11 de diciembre de 2012, las aplicaciones y las operaciones que dependen de las autenticaciones basadas en TLS error pueden fallar de repente aunque no tienen ningún cambio de configuración aparente. Algunas de las aplicaciones y las operaciones que no pueden incluyen, pero no se limitan a, los siguientes:
  • Acceso a la red inalámbrica que usa la autenticación basada en certificados
  • Acceso a la red por cable que usa la autenticación basada en certificados
  • Conectividad de clientes para Lync o para Office Communications Server
  • Correo de voz que utiliza Exchange Server junto con mensajería unificada
  • Acceso al sitio Web compatible con SSL
  • Inicios de sesión de Outlook
  • Retrasos de inicio de sistema operativo (arranque lento)
  • Retrasos de inicios de sesión de usuario (inicio de sesión lento)
Sucesos que se registran en Windows o en los registros de eventos específicos de la aplicación, y que alcance o identificar definitivamente el síntoma que se describe en este artículo, incluyen, pero no se limitan a, los eventos que se enumeran en la tabla siguiente.


Contraer esta tablaAmpliar esta tabla
Registro de sucesosOrigen del eventoID. de sucesoTexto del evento
Sistema deSchannel36885Al solicitar la autenticación de clientes, este servidor envía una lista de entidades emisoras de certificados de confianza para el cliente. El cliente utiliza esta lista para elegir un certificado de cliente que el servidor es de confianza. Actualmente, este servidor confía en tantas entidades emisoras de certificados que la lista es demasiado larga. Esta lista, por tanto, se ha truncado. El Administrador de este equipo debería revisar las autoridades de certificados de confianza para la autenticación del cliente y quitar aquellos que realmente no es necesario que se confíe.
Sistema deSchannel36887Se recibió la siguiente alerta grave: 47
Sistema deNapAgent39El agente de protección de acceso a redes no pudo determinar qué HRA para solicitar un certificado de mantenimiento de. Un cambio de red o si está configurado GP, un cambio de configuración le pedirá más trata de adquirir un certificado de mantenimiento. De lo contrario no se realizarán intentos.Para obtener más información, póngase en contacto con el administrador HRA.
Sistema deAcceso remoto20225Se ha producido el siguiente error en el módulo del Protocolo punto a punto en el puerto: VPN2-509, nombre de usuario: <username>. Se impidió la conexión debido a una directiva configurada en el servidor RAS/VPN. En concreto, el método de autenticación utilizado por el servidor para comprobar su nombre de usuario y la contraseña no puede coincidir con el método de autenticación configurado en el perfil de conexión. Póngase en contacto con el administrador del servidor RAS e infórmele de este error. </username>
Sistema deAcceso remoto20271El usuario <username>conectado desde <IP address="">pero falló un intento de autenticación debido a la razón siguiente: se impidió la conexión debido a una directiva configurada en el servidor RAS/VPN. En concreto, el método de autenticación utilizado por el servidor para comprobar su nombre de usuario y la contraseña no puede coincidir con el método de autenticación configurado en el perfil de conexión. Póngase en contacto con el administrador del servidor RAS e infórmele de este error. </IP></username>


Causa

Estos problemas pueden producirse que si ha actualizado su terceros entidades emisoras raíz de Certication mediante el uso de la KB 931125 de diciembre de 2012 paquete de actualización. El paquete de 931125 KB que fue publicado el 11 de diciembre de 2012, se ha diseñado sólo para SKU cliente. Sin embargo, también fue ofrecido por SKU de servidor durante un breve período en Windows Update y WSUS.

Este paquete instala más de 330 autoridades de Certication de raíz de terceros. Actualmente, el tamaño máximo de la lista de autoridades de certificados de confianza que admite el paquete de seguridad Schannel es 16 kilobytes (KB). Tiene una gran cantidad de la voluntad de las entidades emisoras de terceros raíz Certication repasar los KB 16 límite y podría tener problemas de comunicación TLS/SSL.

Solución

Si utiliza WSUS y no instaló actualizar el KB 931125 de diciembre de 2012, debe sincronizar los servidores WSUS y, a continuación, aprobar la caducidad para que los servidores no instalaron la actualización.

Si ha instalado el KB de diciembre de 2012 931125 paquete de actualización, debe utilizar la siguiente resolución para quitar adicional entidades Certication de raíz de terceros en todos los servidores que ahora tienen una gran cantidad de otras entidades de Certication raíz.

NotaEsta solución elimina todas las autoridades de Certication de raíz de terceros. Si el servidor tiene conectividad a Windows Update, agregará automáticamente autoridades de Certication de raíz back terceros según sea necesario, como se describe en 931125 KB. Si un servidor afectado está aislado o disonnected de Internet, debe manualmente agregar las entidades emisoras de terceros raíz Certication necesarios como hubiera hecho en el pasado. (O bien, puede instalarlos mediante Directiva de grupo).

Para que solucione este problema, vaya a la "arreglar" la sección. Si lo prefiere corregir este problema manualmente, vaya a la sección de "Déjame arreglarlo yo mismo".

Corríjanlo por mí

Para corregir este problema automáticamente, haga clic en el arreglarlo botón o vínculo, haga clic en Ejecutar en el cuadro de diálogo Descarga de archivos y, a continuación, siga los pasos del Asistente para corregirlo .


Solucionar el problema
Microsoft corregirlo 50974
Notas

  • Asegúrese de hacer una copia de seguridad del registro y de todas las claves afectadas antes de realizar cualquier cambio en el sistema.
  • Este asistente puede estar sólo en inglés. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no está en el equipo que tiene el problema, guarde la corrección es la solución a una unidad flash o un CD y, a continuación, ejecutar la solución en el equipo que tiene el problema.

Déjeme corregirlo yo mismo

Elimine la siguiente clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para ello, siga estos pasos:
  1. Inicie el Editor del registro
  2. Busque la siguiente subclave del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Haga clic y, a continuación, elimine la clave que se denomina "Certificados"
NotaAsegúrese de hacer una copia de seguridad del registro y claves afectadas antes de realizar cualquier cambio en el sistema.

Más información

Estos problemas pueden producirse si un servidor TLS/SSL contiene muchas entradas en la lista de certificados raíz de confianza. El servidor envía una lista de entidades emisoras de certificados de confianza para el cliente si se cumplen las condiciones siguientes:
  • El servidor utiliza la seguridad de la capa de transporte (TLS) / protocolo SSL para cifrar el tráfico de red.
  • Los certificados de cliente son necesarios para la autenticación durante el proceso de autenticación de protocolo de enlace.

Esta lista de entidades emisoras de certificados de confianza representa las autoridades desde la que el servidor puede aceptar un certificado de cliente. Para poder ser autenticadas por el servidor, el cliente debe tener un certificado que está presente en la cadena de certificados a un certificado raíz de la lista del servidor. Esto es porque el certificado de cliente siempre es el certificado de entidad final al final de la cadena. El certificado de cliente no forma parte de la cadena.

Actualmente, el tamaño máximo de la lista de autoridades de certificados de confianza que admite el paquete de seguridad Schannel es 16 KB en Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012.

Schannel crea la lista de entidades emisoras de certificados de confianza mediante la búsqueda en el almacén de entidades de certificación raíz de confianza en el equipo local. Cada certificado es de confianza para la autenticación del cliente se agrega a la lista. Si el tamaño de esta lista supera 16 KB, Schannel registra el identificador de suceso de advertencia 36855. A continuación, Schannel trunca la lista de certificados raíz de confianza y envía esta lista truncada en el equipo cliente.

Cuando el equipo cliente recibe la lista truncada de certificados raíz de confianza, el equipo cliente no tenga un certificado que existe en la cadena de un emisor de certificados de confianza. Por ejemplo, el equipo cliente puede tener un certificado que corresponde a un certificado raíz de confianza que Schannel truncado de la lista de entidades emisoras de certificados de confianza. Por lo tanto, el servidor no puede autenticar al cliente.

Propiedades

Id. de artículo: 2801679 - Última revisión: jueves, 17 de octubre de 2013 - Versión: 3.0
La información de este artículo se refiere a:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Palabras clave: 
kbmt KB2801679 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 2801679

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com