Problemas de comunicação SSL/TLS depois de instalar o KB 931125
Este artigo fornece uma solução para problemas de comunicação SSL/TLS que ocorrem depois que você instala o KB 931125.
Aplica-se a: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2
Número de KB original: 2801679
Sintomas
Após 11 de dezembro de 2012, aplicativos e operações dependentes de autenticações baseadas em TLS falham repentinamente, embora não tenham nenhuma alteração de configuração aparente. Alguns dos aplicativos e operações que podem falhar incluem, mas não se limitam a, o seguinte:
- Acesso à rede sem fio que usa autenticação baseada em certificado
- Acesso à rede com fio que usa autenticação baseada em certificado
- Conectividade do cliente com o Lync ou com o Office Communications Server
- Email que usa Exchange Server junto com o Unified Messaging
- Acesso ao site habilitado para SSL
- Logotipos do Outlook
- Atrasos na inicialização do sistema operacional (inicialização lenta)
- Atrasos de logons de usuário (logon lento)
Os eventos registrados no Windows ou em logs de eventos específicos do aplicativo e que escopo ou identificar definitivamente o sintoma discutido neste artigo incluem, mas não se limitam a, eventos listados na tabela a seguir.
| Log de eventos | Origem do evento | ID do Evento | Texto do evento |
|---|---|---|---|
| Sistema | Schannel | 36885 | Ao solicitar a autenticação do cliente, esse servidor envia uma lista de autoridades de certificado confiáveis para o cliente. O cliente usa essa lista para escolher um certificado de cliente confiável pelo servidor. Atualmente, esse servidor confia em tantas autoridades de certificado que a lista cresceu muito. Essa lista foi truncada. O administrador deste computador deve examinar as autoridades de certificado confiáveis para autenticação do cliente e remover aqueles que realmente não precisam ser confiáveis. |
| Sistema | Schannel | 36887 | O seguinte alerta fatal foi recebido: 47 |
| Sistema | NapAgent | 39 | O Agente de Proteção de Acesso à Rede não pôde determinar de quais HRAs solicitar um certificado de integridade. Uma alteração de rede ou se o GP estiver configurado, uma alteração de configuração solicitará novas tentativas de adquirir um certificado de integridade. Caso contrário, nenhuma tentativa adicional será feita. Entre em contato com o administrador da HRA para obter mais informações. |
| Sistema | Remoteaccess | 20225 | O seguinte erro ocorreu no módulo Protocolo Ponto a Ponto na porta: VPN2-509, UserName: <nome de> usuário. A conexão foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e senha pode não corresponder ao método de autenticação configurado em seu perfil de conexão. Entre em contato com o administrador do servidor RAS e notifique-os desse erro. |
| Sistema | Remoteaccess | 20271 | O nome de usuário <> conectado do <endereço> IP, mas falhou em uma tentativa de autenticação devido ao seguinte motivo: a conexão foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e senha pode não corresponder ao método de autenticação configurado em seu perfil de conexão. Entre em contato com o administrador do servidor RAS e notifique-os desse erro. |
Motivo
Esses problemas podem ocorrer se você atualizou suas Autoridades de Certificação Raiz de Terceiros usando o pacote de atualização de 931125 de dezembro de 2012 do KB. O pacote de 931125 do KB que foi postado em 11 de dezembro de 2012, destinava-se apenas a SKUs cliente. No entanto, ele também foi oferecido para SKUs de servidor por um curto período de tempo em Windows Update e WSUS.
Esse pacote instalou mais de 330 autoridades de certificação raiz de terceiros. Atualmente, o tamanho máximo da lista de autoridades de certificado confiáveis que o pacote de segurança Schannel dá suporte é de 16 quilobytes (KB). Ter uma grande quantidade de autoridades de certificação raiz de terceiros ultrapassará o limite de 16k e você terá problemas de comunicação TLS/SSL.
Resolução
Se você usa o WSUS e não instalou a atualização de 931125 do KB de dezembro de 2012, deve sincronizar os servidores do WSUS e aprovar as expirações para que os servidores não instalem a atualização.
Se você instalou o pacote de atualização de 931125 KB de dezembro de 2012, deverá usar a resolução a seguir para remover autoridades adicionais de certificação raiz de terceiros em todos os servidores que agora têm uma grande quantidade de Autoridades de Certificação Raiz de Terceiros.
Observação
Essa solução remove todas as autoridades de certificação raiz de terceiros. Se o servidor tiver conectividade com Windows Update, ele adicionará automaticamente autoridades de certificação raiz de terceiros conforme necessário, conforme também discutido no KB 931125. Se um servidor afetado estiver isolado ou desconectado da Internet, você deverá adicionar manualmente as autoridades de certificação raiz de terceiros necessárias de volta, como teria feito no passado. (Ou, você pode instalá-los usando Política de Grupo.)
Para corrigir esse problema, exclua a seguinte chave do registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Para fazer isso, siga estas etapas:
- Iniciar Editor do Registro
- Localize a seguinte subchave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Clique com o botão direito do mouse e exclua a chave chamada Certificados.
Observação
Certifique-se de fazer um backup do registro e das chaves afetadas antes de fazer qualquer alteração no sistema.
Mais informações
Esses problemas poderão ocorrer se um servidor TLS/SSL contiver muitas entradas na lista de certificação raiz confiável. O servidor envia uma lista de autoridades de certificado confiáveis para o cliente se as seguintes condições forem verdadeiras:
- O servidor usa o protocolo TLS/SSL (Transport Layer Security) para criptografar o tráfego de rede.
- Os certificados do cliente são necessários para autenticação durante o processo de aperto de mão de autenticação.
Esta lista de autoridades de certificado confiáveis representa as autoridades das quais o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente deve ter um certificado que esteja presente na cadeia de certificados para um certificado raiz da lista do servidor. Isso ocorre porque o certificado do cliente é sempre o certificado de entidade final no final da cadeia. O certificado do cliente não faz parte da cadeia.
Atualmente, o tamanho máximo da lista de autoridades de certificado confiáveis que o pacote de segurança do Schannel dá suporte é de 16 KB no Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.
O Schannel cria a lista de autoridades de certificado confiáveis pesquisando o repositório Autoridades de Certificação Raiz Confiáveis no computador local. Cada certificado confiável para fins de autenticação do cliente é adicionado à lista. Se o tamanho desta lista exceder 16 KB, o Schannel registrará a ID do evento de aviso 36855. Em seguida, o Schannel trunca a lista de certificados raiz confiáveis e envia essa lista truncada para o computador cliente.
Quando o computador cliente recebe a lista truncada de certificados raiz confiáveis, o computador cliente pode não ter um certificado que exista na cadeia de um emissor de certificado confiável. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado raiz confiável que schannel truncou da lista de autoridades de certificado confiáveis. Portanto, o servidor não pode autenticar o cliente.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários