Problemas de comunicação de SSL/TLS, depois de instalar KB 931125

Traduções de Artigos Traduções de Artigos
Artigo: 2801679 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

11 De Dezembro de 2012, aplicações e operações que dependem de falhas de autenticações baseado em TLS poderão subitamente falhar apesar de poderem não ter nenhuma alteração de configuração aparente. Algumas das aplicações e operações que poderão falhar incluem, mas não sejam limitam as seguintes:
  • Acesso à rede sem fios que utilize a autenticação baseada em certificados
  • Acesso à rede com fios que utilize a autenticação baseada em certificados
  • Conectividade de cliente para o Lync ou para o Office Communications Server
  • Correio de voz que utiliza o Exchange Server, bem como Unified Messaging
  • Acesso de Web site de suporte de SSL
  • Inícios de sessão do Outlook
  • Atrasos de arranque do SO (arranque lento)
  • Atrasos de inícios de sessão de utilizador (início de sessão lento)
Eventos que são registados no Windows ou em registos de eventos específicos da aplicação e que o âmbito ou definitivamente identificar o sintoma descrito neste artigo, incluem, mas não estão limitados a eventos que estão listados na seguinte tabela.


Reduzir esta tabelaExpandir esta tabela
Registo de eventosOrigem do eventoID do eventoTexto do evento
SistemaSchannel36885Ao solicitar a autenticação de cliente, este servidor envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não deverão ser consideradas fidedignas.
SistemaSchannel36887Foi recebido o seguinte alerta fatal: 47
SistemaNapAgent39Não foi possível determinar que HRAs para pedir um certificado sanitário de Network Access Protection Agent. Uma alteração de rede ou se estiver configurado GP, uma alteração de configuração irá pedir mais tentativas para adquirir um certificado sanitário. Caso contrário, não serão efectuadas tentativas.Contacte o administrador HRA para obter mais informações.
SistemaAcesso remoto20225Ocorreu o seguinte erro no módulo do protocolo ponto a ponto na porta: VPN2-509, nome de utilizador: <username>. A ligação foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação utilizado pelo servidor para verificar o nome de utilizador e palavra-passe pode não coincidir com o método de autenticação configurado no perfil de ligação. Contacte o administrador do servidor RAS e notifique-o deste erro. </username>
SistemaAcesso remoto20271O utilizador <username>ligado a partir de <IP address="">, mas falhou uma tentativa de autenticação devido ao seguinte motivo: A ligação foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação utilizado pelo servidor para verificar o nome de utilizador e palavra-passe pode não coincidir com o método de autenticação configurado no perfil de ligação. Contacte o administrador do servidor RAS e notifique-o deste erro. </IP></username>


Causa

Estes problemas poderão ocorrer que se tiver actualizado o terceiros autoridades de Certication de raiz através da utilização de Dezembro de 2012 KB 931125 pacote de actualização. O pacote de KB 931125 que tiver sido registado, de 11 de Dezembro de 2012, foi concebido apenas para o cliente SKUs. No entanto, foi também fornecido para SKUs de servidor por uns instantes no Windows Update e no WSUS.

Este pacote instalado mais do que 330 autoridades de Certication de raiz de terceiros. Actualmente, o tamanho máximo da lista de autoridades de certificado fidedigno que o pacote de segurança do Schannel suporta é 16 kilobytes (KB). Tendo uma grande quantidade de autoridades de Certication de raiz de terceiros irá rever o 16K limite e, ocorrerão problemas de comunicação TLS/SSL.

Resolução

Se utiliza os WSUS e não instalou a actualização de Dezembro de 2012 KB 931125, deve sincronizar os servidores WSUS e, em seguida, aprovar as expirações para que os servidores não instale a actualização.

Se tiver instalado a Dezembro de 2012 KB 931125 pacote de actualização, deve utilizar a resolução que se segue para remover adicionais autoridades de Certication de raiz de terceiros em todos os servidores que têm agora uma grande quantidade de autoridades de Certication de raiz de terceiros.

NotaEsta solução remove todas as autoridades de Certication de raiz de terceiros. Se o servidor tiver conectividade ao Windows Update, adicionará automaticamente back fabricantes Certication autoridades raiz conforme necessário, como também discutida no KB 931125. Se um servidor afectado está isolado ou disonnected da Internet, tem de manualmente adicione as autoridades de Certication de raiz de terceiros necessário à medida que teria feito no passado. (Ou, pode instalá-los utilizando a política de grupo.)

Para nos solicitar a correcção deste problema, vá para o "corrigir por mim" secção. Se preferir corrigir o problema sozinho, consulte a secção "Deixar-me corrigir o problema".

Corrigir por mim

Para corrigir este problema automaticamente, faça clique sobre o corrigi-lo botão ou hiperligação, clique em Executar na caixa de diálogo Transferência de ficheiros e, em seguida, siga os passos no assistente Fix it .


Corrigir este problema
Microsoft Fix it 50974
Notas

  • Certifique-se de que crie uma cópia de segurança do registo e de todas as chaves afectadas antes de efectuar quaisquer alterações ao sistema.
  • Este assistente só pode estar em inglês. No entanto, a correcção automática também funciona para outras versões de idioma do Windows.
  • Se não estiver a trabalhar no computador que tem o problema, guardar a correcção solução uma unidade flash ou num CD e, em seguida, execute a solução no computador que tem o problema.

Deixar-me corrigir o problema

Elimine a seguinte chave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para tal, siga estes passos:
  1. Inicie o Editor de registo
  2. Localize a seguinte subchave de registo:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Botão direito do rato e, em seguida, elimine a chave que é designado por "Certificados"
NotaCertifique-se de que crie uma cópia de segurança do registo e das chaves afectadas antes de efectuar quaisquer alterações ao sistema.

Mais Informação

Estes problemas poderão ocorrer se um servidor TLS/SSL contém muitas entradas na lista de certificação de raiz fidedigna. O servidor envia uma lista de autoridades de certificação fidedignas para o cliente, caso se verifiquem as seguintes condições:
  • O servidor utiliza o Transport Layer Security (TLS) / protocolo de SSL para encriptar o tráfego de rede.
  • Certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.

Esta lista de autoridades de certificação fidedignas representa as autoridades a partir do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente tem de ter um certificado que está presente na cadeia de certificados por um certificado raiz da lista do servidor. Isto acontece porque o certificado de cliente é sempre o certificado de entidade final no fim da cadeia. O certificado de cliente não é parte da cadeia.

Actualmente, o tamanho máximo da lista de autoridades de certificado fidedigno que o pacote de segurança do Schannel suporta é 16 KB no Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

Schannel cria a lista de autoridades de certificação fidedigna procurando o arquivo de autoridades de certificação de raiz fidedigna no computador local. Cada certificado que seja fidedigno para fins de autenticação de cliente é adicionado à lista. Se o tamanho desta lista exceder 16 KB, o Schannel regista o ID de evento de aviso 36855. Em seguida, o Schannel trunca a lista de certificados de raiz fidedigna e envia esta lista truncada para o computador cliente.

Quando o computador cliente recebe a lista truncada de certificados de raiz fidedigna, o computador cliente pode não ter um certificado que existe na cadeia de um emissor de um certificado fidedigno. Por exemplo, o computador cliente poderá ter um certificado que corresponde a um certificado de raiz fidedigna que Schannel truncado da lista de autoridades de certificação fidedignas. Por conseguinte, o servidor não consegue autenticar o cliente.

Propriedades

Artigo: 2801679 - Última revisão: 18 de outubro de 2013 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbmt KB2801679 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2801679

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com