Problèmes de communication SSL/TLS après l’installation de la base de connaissances 931125
Cet article fournit une solution aux problèmes de communication SSL/TLS qui se produisent après l’installation de la base de connaissances 931125.
S’applique à : Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 2801679
Symptômes
Après le 11 décembre 2012, les applications et les opérations qui dépendent de l’échec des authentifications TLS peuvent échouer soudainement, bien qu’elles n’aient aucune modification apparente de la configuration. Voici quelques-unes des applications et opérations qui peuvent échouer :
- Accès réseau sans fil qui utilise l’authentification basée sur les certificats
- Accès réseau câblé qui utilise l’authentification basée sur les certificats
- Connectivité du client à Lync ou à Office Communications Server
- Messagerie vocale qui utilise Exchange Server avec la messagerie unifiée
- Accès au site web avec SSL
- Ouvertures de session Outlook
- Retards de démarrage du système d’exploitation (démarrage lent)
- Retards des ouvertures de session utilisateur (ouverture de session lente)
Les événements qui sont enregistrés dans Windows ou dans les journaux des événements spécifiques à l’application, et qui définissent ou identifient définitivement le symptôme abordé dans cet article, incluent, sans s’y limiter, les événements répertoriés dans le tableau suivant.
| Journal des événements | Source de l’événement | ID d’événement | Texte de l’événement |
|---|---|---|---|
| Système | Schannel | 36885 | Lorsque vous demandez l’authentification du client, ce serveur envoie une liste d’autorités de certification approuvées au client. Le client utilise cette liste pour choisir un certificat client approuvé par le serveur. Actuellement, ce serveur approuve tellement d’autorités de certification que la liste a été trop longue. Cette liste a donc été tronquée. L’administrateur de cette machine doit examiner les autorités de certification approuvées pour l’authentification du client et supprimer celles qui n’ont pas vraiment besoin d’être approuvées. |
| Système | Schannel | 36887 | L’alerte fatale suivante a été reçue : 47 |
| Système | NapAgent | 39 | L’agent de protection d’accès réseau n’a pas pu déterminer à partir de quels hras demander un certificat d’intégrité. Une modification du réseau ou si la stratégie de groupe est configurée, une modification de configuration invite d’autres tentatives d’acquisition d’un certificat d’intégrité. Dans le cas contraire, aucune autre tentative ne sera effectuée. Pour plus d’informations, contactez l’administrateur HRA. |
| Système | RemoteAccess | 20225 | L’erreur suivante s’est produite dans le module Protocole point à point sur le port : VPN2-509, UserName : <username>. La connexion a été empêchée en raison d’une stratégie configurée sur votre serveur RAS/VPN. Plus précisément, la méthode d’authentification utilisée par le serveur pour vérifier votre nom d’utilisateur et votre mot de passe peut ne pas correspondre à la méthode d’authentification configurée dans votre profil de connexion. Contactez l’administrateur du serveur RAS et informez-le de cette erreur. |
| Système | RemoteAccess | 20271 | Le nom d’utilisateur de l’utilisateur <s’est connecté à partir de <l’adresse> IP mais a échoué une tentative d’authentification pour la raison suivante : La connexion a été empêchée en raison d’une stratégie configurée sur votre serveur RAS/VPN.> Plus précisément, la méthode d’authentification utilisée par le serveur pour vérifier votre nom d’utilisateur et votre mot de passe peut ne pas correspondre à la méthode d’authentification configurée dans votre profil de connexion. Contactez l’administrateur du serveur RAS et informez-le de cette erreur. |
Cause
Ces problèmes peuvent se produire si vous avez mis à jour vos autorités de certification racines tierces à l’aide du package de mise à jour de la base de connaissances 931125 décembre 2012. Le package kb 931125 qui a été publié le 11 décembre 2012 était destiné uniquement aux références SKU clientes. Toutefois, il a également été proposé pour les références SKU de serveur pendant une courte période sur Windows Update et WSUS.
Ce package a installé plus de 330 autorités de certification racines tierces. Actuellement, la taille maximale de la liste des autorités de certification approuvées que le package de sécurité Schannel prend en charge est de 16 kilo-octets (Ko). Le fait de disposer d’une grande quantité d’autorités de certification racine tierces dépasse la limite de 16 000 et vous rencontrerez des problèmes de communication TLS/SSL.
Résolution
Si vous utilisez WSUS et que vous n’avez pas installé la mise à jour de décembre 2012 kb 931125, vous devez synchroniser vos serveurs WSUS, puis approuver les expirations afin que vos serveurs n’installent pas la mise à jour.
Si vous avez installé le package de mise à jour de décembre 2012 kb 931125, vous devez utiliser la résolution suivante pour supprimer les autorités de certification racines tierces supplémentaires sur tous les serveurs qui disposent désormais d’une grande quantité d’autorités de certification racines tierces.
Remarque
Cette solution supprime toutes les autorités de certification racines tierces. Si votre serveur dispose d’une connectivité à Windows Update, il rajoute automatiquement les autorités de certification racine tierces en fonction des besoins, comme indiqué dans kb 931125. Si un serveur affecté est isolé ou déconnecté d’Internet, vous devez ajouter manuellement les autorités de certification racine tierces nécessaires comme vous l’auriez fait par le passé. (Vous pouvez également les installer à l’aide de stratégie de groupe.)
Pour résoudre ce problème, supprimez la clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Pour cela, procédez comme suit :
- Démarrer l’Rédacteur du Registre
- Recherchez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Cliquez avec le bouton droit, puis supprimez la clé appelée Certificats.
Remarque
Veillez à effectuer une sauvegarde du Registre et des clés affectées avant d’apporter des modifications à votre système.
Plus d’informations
Ces problèmes peuvent se produire si un serveur TLS/SSL contient de nombreuses entrées dans la liste de certification racine approuvée. Le serveur envoie une liste d’autorités de certification approuvées au client si les conditions suivantes sont remplies :
- Le serveur utilise le protocole TLS (Transport Layer Security)/SSL pour chiffrer le trafic réseau.
- Les certificats clients sont requis pour l’authentification pendant le processus de négociation d’authentification.
Cette liste d’autorités de certification approuvées représente les autorités à partir desquelles le serveur peut accepter un certificat client. Pour être authentifié par le serveur, le client doit disposer d’un certificat présent dans la chaîne de certificats à un certificat racine de la liste du serveur. En effet, le certificat client est toujours le certificat d’entité de fin à la fin de la chaîne. Le certificat client ne fait pas partie de la chaîne.
Actuellement, la taille maximale de la liste des autorités de certification approuvées prise en charge par le package de sécurité Schannel est de 16 Ko dans Windows Server 2008, Windows Server 2008 R2 et Windows Server 2012.
Schannel crée la liste des autorités de certification approuvées en effectuant une recherche dans le magasin Autorités de certification racines de confiance sur l’ordinateur local. Chaque certificat approuvé à des fins d’authentification client est ajouté à la liste. Si la taille de cette liste dépasse 16 Ko, Schannel enregistre l’ID d’événement d’avertissement 36855. Ensuite, Schannel tronque la liste des certificats racines approuvés et envoie cette liste tronquée à l’ordinateur client.
Lorsque l’ordinateur client reçoit la liste tronquée des certificats racines approuvés, il se peut que l’ordinateur client n’ait pas de certificat qui existe dans la chaîne d’un émetteur de certificat approuvé. Par exemple, l’ordinateur client peut avoir un certificat qui correspond à un certificat racine approuvé que Schannel a tronqué dans la liste des autorités de certification approuvées. Par conséquent, le serveur ne peut pas authentifier le client.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour