设置 KB 931125 后的 SSL/TLS 通信问题

文章翻译 文章翻译
文章编号: 2801679 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

在 2012 年 12 月 11 日之后应用程序和基于 TLS 身份验证失败相关的操作可能会突然失败虽然他们没有明显的配置更改。某些应用程序和操作可能会失败,包括但不限于以下:
  • 使用基于证书的身份验证的无线网络访问
  • 使用基于证书的身份验证的有线的网络访问
  • 客户端连接到 Lync 或办公室通信服务器
  • 使用 Exchange Server 以及统一消息语音邮件
  • 启用 SSL 的网站访问
  • Outlook 登录
  • 操作系统启动延迟 (启动慢)
  • 用户的登录延迟 (慢速登录)
事件的记录在 Windows 或特定于应用程序的事件日志,和所确定的范围或明确标识将在本文中,讨论的症状包括但不限于在下表中列出的事件。


收起该表格展开该表格
事件日志事件源事件 ID事件文本
系统频道36885在要求客户端身份验证,此服务器将发送到客户端的受信任的证书颁发机构的列表。客户端使用此列表可以选择受信任的服务器的客户端证书。目前,此服务器信任如此之多的证书颁发机构列表已变得太长。此列表已因此被截断。此计算机的管理员应检查受信任的客户端身份验证的证书颁发机构,并删除那些实际上不需要受信任。
系统频道36887收到以下致命警报: 47
系统NapAgent39网络访问保护代理程序无法确定哪个 HRAs 申请从健康证书。网络改变或配置更改时 (如果配置了 GP,将提示进一步尝试获取健康证书。否则不会再将会进行尝试。有关详细信息,请与 HRA 管理员联系。
系统远程访问20225在端口上的点对点协议模块中出现了以下错误: VPN2 509、 用户名: <username>。由于 RAS/VPN 服务器上配置的策略,连接被阻止。具体来说,服务器用来验证您的用户名和密码的身份验证方法可能与您的连接配置文件中配置的身份验证方法。请与 RAS 服务器的管理员联系,通知他们此错误。 </username>
系统远程访问20271用户<username><IP address="">从连接,但由于以下原因而导致的身份验证尝试失败: 连接被阻止,因为 RAS/VPN 服务器上配置的策略。具体来说,服务器用来验证您的用户名和密码的身份验证方法可能与您的连接配置文件中配置的身份验证方法。请与 RAS 服务器的管理员联系,通知他们此错误。 </IP></username>


原因

如果更新第三方使用的根 Certication 机构 2012 年 12 月 KB 931125 更新包,可能会出现这些问题。在 2012 年 12 月 11 日,过帐 KB 931125 包被供客户端 Sku。但是,它还提供的服务器 Sku Windows 更新和 WSUS 上一段时间。

此软件包安装超过 330 第三方根 Certication 机构。目前,则 Schannel 安全程序包支持受信任的证书颁发机构列表的最大大小是 16 千字节 (KB)。有很多的第三方根 Certication 机构将超出 16 k 限制,并且您会遇到 TLS/SSL 通信问题。

解决方案

如果您使用 WSUS,并且未安装 2012 年 12 月 KB 931125 更新,应同步您的 WSUS 服务器,然后批准过期时间,以使您的服务器没有安装更新程序。

如果您安装了 2012 年 12 月 KB 931125 更新软件包,您应使用下面的解决方法删除附加第三方根 Certication 机构现在有很多的第三方根 Certication 机构的所有服务器上。

注意此解决方案中删除所有第三方根 Certication 机构。如果您的服务器能够连接到 Windows 更新,它将自动添加第三方后根 Certication 机构需要时,KB 931125 中,也有讨论。如果受影响的服务器是独立或与 Internet 断开,则必须手动添加必要的第三方根 Certication 机构回过去已完成。(或者,您可以通过使用组策略来安装它们。

若要我们为您修复此问题,请转到"修复它为我"部分。如果您更喜欢自己修复此问题,请转到"让我自己修复此问题"一节。

帮我修复

若要自动修复此问题,请单击Fix it 按钮或链接,单击文件下载对话框中的运行,然后按照解决办法向导中的步骤。


修复此问题
Microsoft 修复此问题 50974
注释

  • 请确保您在向您的系统进行任何更改之前进行备份和所有受影响的项的注册表。
  • 此向导可能仅为英文。但是,自动修复功能也适用于其他语言版本的 Windows。
  • 如果不出现此问题,请保存此修复程序的计算机上该解决方案添加到闪存驱动器或 CD 中,然后运行解决方案时出现问题的计算机上。

我自己修复

删除以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

若要执行此操作,请执行以下步骤:
  1. 启动注册表编辑器
  2. 找到下面的注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 用鼠标右键单击,然后删除称为"证书"的键
注意请确保您在向您的系统进行任何更改之前进行备份注册表和受影响的项。

更多信息

TLS/SSL 服务器包含受信任的根证书列表中的多个项,则可能会出现这些问题。如果以下情况属实,服务器发送到客户端的受信任的证书颁发机构的列表:
  • 服务器使用传输层安全性 (TLS) / SSL 来加密网络通信的协议。
  • 客户端证书验证时需要提供身份验证握手过程。

此列表中的受信任的证书颁发机构表示从该服务器可接受的客户端证书的机构。由服务器进行身份验证,则客户端必须存在证书的证书链中根证书服务器的列表中。这是因为该客户端证书始终是最终实体证书链的末尾。客户端证书不是链的一部分。

目前,频道安全数据库支持受信任的证书颁发机构列表的最大大小是在 Windows Server 2008,Windows Server 2008 R2,以及 Windows Server 2012 16 KB。

Schannel 通过搜索本地计算机上受信任的根证书颁发机构存储区中创建的受信任的证书颁发机构的列表。每个受信任的客户端进行身份验证的证书添加到列表中。如果此列表的大小超过 16 KB,则 Schannel 将记录警告事件 ID 36855。然后,Schannel 将截断的受信任的根证书的列表,并将此截断的列表发送到客户端计算机。

当客户端计算机收到被截断的受信任的根证书的列表时,则客户端计算机可能没有存在的受信任的证书颁发者链中的证书。例如,客户端计算机可能具有对应于 Schannel 截断的受信任的证书颁发机构列表中的受信任的根证书的证书。因此,服务器不能对客户端进行身份验证。

属性

文章编号: 2801679 - 最后修改: 2014年4月2日 - 修订: 4.0
这篇文章中的信息适用于:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
关键字:?
kbmt KB2801679 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2801679
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com