KB 931125 yüklendikten sonra SSL/TLS iletişim sorunları
Bu makalede, KB 931125 yüklendikten sonra oluşan SSL/TLS iletişim sorunlarına çözüm sağlanır.
Şunlar için geçerlidir: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2
Özgün KB numarası: 2801679
Belirtiler
11 Aralık 2012'nin ardından TLS tabanlı kimlik doğrulamalarına bağımlı uygulamalar ve işlemler, görünür bir yapılandırma değişikliğine sahip olmasalar da aniden başarısız olabilir. Başarısız olabilecek uygulama ve işlemlerden bazıları şunlardır ancak bunlarla sınırlı değildir:
- Sertifika tabanlı kimlik doğrulaması kullanan kablosuz ağ erişimi
- Sertifika tabanlı kimlik doğrulaması kullanan kablolu ağ erişimi
- Lync'e veya Office Communications Server'a istemci bağlantısı
- Birleşik Mesajlaşma ile birlikte Exchange Server kullanan sesli mesaj
- SSL özellikli web sitesi erişimi
- Outlook oturum açma işlemleri
- İşletim sistemi önyükleme gecikmeleri (yavaş önyükleme)
- Kullanıcı oturum açma gecikmeleri (yavaş oturum açma)
Windows'ta veya uygulamaya özgü olay günlüklerinde günlüğe kaydedilen ve bu makalede açıklanan belirtiyi kapsam veya kesin olarak tanımlayan olaylar, aşağıdaki tabloda listelenen olayları içerir ancak bunlarla sınırlı değildir.
| Olay günlüğü | Olay kaynağı | Olay Kimliği | Olay metni |
|---|---|---|---|
| Sistem | Schannel | 36885 | İstemci kimlik doğrulaması isterken, bu sunucu istemciye güvenilir sertifika yetkililerinin listesini gönderir. İstemci, sunucu tarafından güvenilen bir istemci sertifikası seçmek için bu listeyi kullanır. Şu anda, bu sunucu o kadar çok sertifika yetkilisine güveniyor ki liste çok uzun büyüdü. Bu liste böylece kesilmiş. Bu makinenin yöneticisi, istemci kimlik doğrulaması için güvenilen sertifika yetkililerini gözden geçirmeli ve gerçekten güvenilmesi gerekmeyenleri kaldırmalıdır. |
| Sistem | Schannel | 36887 | Aşağıdaki önemli uyarı alındı: 47 |
| Sistem | NapAgent | 39 | Ağ Erişim Koruması Aracısı, sistem durumu sertifikası istemek için hangi İKA'ları belirleyemedi. Ağ değişikliği veya GP yapılandırıldıysa yapılandırma değişikliği, sistem durumu sertifikası almaya yönelik daha fazla girişimde bulunulur. Aksi takdirde başka girişimde bulunulmayacaktır. Daha fazla bilgi için HRA yöneticisine başvurun. |
| Sistem | Remoteaccess | 20225 | Bağlantı noktası üzerindeki Noktadan Noktaya Protokol modülünde şu hata oluştu: VPN2-509, UserName: <kullanıcı adı>. RAS/VPN sunucunuzda yapılandırılmış bir ilke nedeniyle bağlantı engellendi. Özellikle, kullanıcı adınızı ve parolanızı doğrulamak için sunucu tarafından kullanılan kimlik doğrulama yöntemi, bağlantı profilinizde yapılandırılan kimlik doğrulama yöntemiyle eşleşmeyebilir. Lütfen RAS sunucusunun Yöneticisine başvurun ve bu hatayı onlara bildirin. |
| Sistem | Remoteaccess | 20271 | IP adresinden bağlanan ancak aşağıdaki nedenden dolayı kimlik doğrulama girişiminde başarısız olan kullanıcı <adı>: RAS/VPN sunucunuzda yapılandırılmış bir ilke nedeniyle bağlantı engellendi.<> Özellikle, kullanıcı adınızı ve parolanızı doğrulamak için sunucu tarafından kullanılan kimlik doğrulama yöntemi, bağlantı profilinizde yapılandırılan kimlik doğrulama yöntemiyle eşleşmeyebilir. Lütfen RAS sunucusunun Yöneticisine başvurun ve bu hatayı onlara bildirin. |
Neden
Aralık 2012 KB 931125 güncelleştirme paketini kullanarak Üçüncü Taraf Kök Sertifika Yetkililerinizi güncelleştirdiyseniz bu sorunlar oluşabilir. 11 Aralık 2012'de yayınlanan KB 931125 paketi yalnızca istemci SKU'ları için tasarlanmıştır. Ancak, Windows Update ve WSUS üzerinde kısa bir süre için Sunucu SKU'ları için de teklif edildi.
Bu paket 330'dan fazla Üçüncü Taraf Kök Sertifika Yetkilisi yükledi. Şu anda Schannel güvenlik paketinin desteklediği güvenilen sertifika yetkilileri listesinin en büyük boyutu 16 kilobayttır (KB). Büyük miktarda Üçüncü Taraf Kök Sertifika Yetkilisine sahip olmak 16k sınırını aşacak ve TLS/SSL iletişim sorunlarıyla karşılaşacaksınız.
Çözüm
WSUS kullanıyorsanız ve Aralık 2012 KB 931125 güncelleştirmesini yüklemediyseniz, WSUS sunucularınızı eşitlemeli ve sunucularınızın güncelleştirmeyi yüklememesi için süre sonunu onaylamanız gerekir.
Aralık 2012 KB 931125 güncelleştirme paketini yüklediyseniz, şu anda büyük miktarda Üçüncü Taraf Kök Sertifika Yetkilisine sahip olan tüm sunucularda ek Üçüncü Taraf Kök Sertifika Yetkilileri'ni kaldırmak için aşağıdaki çözümü kullanmalısınız.
Not
Bu çözüm tüm Üçüncü Taraf Kök Sertifika Yetkililerini kaldırır. Sunucunuzun Windows Update bağlantısı varsa, KB 931125'de de açıklandığı gibi gerektiğinde Üçüncü Taraf Kök Sertifika Yetkilileri'ni otomatik olarak geri ekler. Etkilenen bir sunucu yalıtılmışsa veya İnternet bağlantısı kesilmişse, geçmişte yaptığınız gibi gerekli Üçüncü Taraf Kök Sertifika Yetkilileri'ni el ile geri eklemeniz gerekir. (Veya grup ilkesi kullanarak yükleyebilirsiniz.)
Bu sorunu düzeltmek için aşağıdaki kayıt defteri anahtarını silin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
Bunu yapmak için şu adımları uygulayın:
- Kayıt Defteri Düzenleyici'ni başlatma
- Aşağıdaki kayıt defteri alt anahtarını bulun:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Sağ tıklayın ve ardından Sertifikalar adlı anahtarı silin.
Not
Sisteminizde herhangi bir değişiklik yapmadan önce kayıt defterinin ve etkilenen anahtarların yedeğini yaptığınızdan emin olun.
Daha fazla bilgi
Bir TLS/SSL sunucusu güvenilen kök sertifika listesinde çok sayıda girdi içeriyorsa bu sorunlar oluşabilir. Sunucu, aşağıdaki koşullar doğruysa istemciye güvenilir sertifika yetkililerinin listesini gönderir:
- Sunucu, ağ trafiğini şifrelemek için Aktarım Katmanı Güvenliği (TLS)/SSL protokollerini kullanır.
- Kimlik doğrulaması el sıkışması işlemi sırasında kimlik doğrulaması için istemci sertifikaları gereklidir.
Bu güvenilen sertifika yetkilileri listesi, sunucunun bir istemci sertifikasını kabul edebildiği yetkilileri temsil eder. Sunucu tarafından kimlik doğrulamasının yapılması için istemcinin, sunucu listesinden bir kök sertifikaya sertifika zincirinde bulunan bir sertifikaya sahip olması gerekir. Bunun nedeni, istemci sertifikasının her zaman zincirin sonundaki son varlık sertifikası olmasıdır. İstemci sertifikası zincirin bir parçası değildir.
Şu anda Schannel güvenlik paketinin desteklediği güvenilen sertifika yetkilileri listesinin en büyük boyutu Windows Server 2008, Windows Server 2008 R2 ve Windows Server 2012'de 16 KB'tır.
Schannel, yerel bilgisayardaki Güvenilen Kök Sertifika Yetkilileri deposunda arama yaparak güvenilen sertifika yetkililerinin listesini oluşturur. İstemci kimlik doğrulaması amacıyla güvenilen her sertifika listeye eklenir. Bu listenin boyutu 16 KB'ı aşarsa, Schannel Uyarı olayı kimliği 36855'i günlüğe kaydeder. Ardından Schannel, güvenilen kök sertifikaların listesini keserek bu kesilmiş listeyi istemci bilgisayara gönderir.
İstemci bilgisayar, güvenilen kök sertifikaların kesilmiş listesini aldığında, istemci bilgisayarın güvenilen bir sertifika verenin zincirinde var olan bir sertifikası olmayabilir. Örneğin, istemci bilgisayarda Schannel'in güvenilen sertifika yetkilileri listesinden kesdiği güvenilen bir kök sertifikaya karşılık gelen bir sertifika olabilir. Bu nedenle, sunucu istemcinin kimliğini doğrulayamaz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin