Симптомы
Рассмотрим следующий сценарий:
-
Используется проверка подлинности сертификата клиента Secure Sockets слой/протокол TLS (SSL/TLS) на компьютере под управлением Windows 8 или Windows Server 2012.
-
Выполняется операция, кажущиеся не связанными проверка подлинности сертификата клиента SSL/TLS. Тем не менее то операция вызывает доверенное корневое хранилище превышает ограничение в 16 килобайт (КБ). Например выполняется одно из следующих действий:
-
В удаленном сеансе не прошедший проверку пользователь осуществляет проверку сервера конечной точки SSL с использованием сертификата клиента, восходящий по цепочке novel доверенные корневые сертификаты. Затем криптографические приложения программирование интерфейса (CAPI) novel доверенных корней автоматически устанавливает.
-
Пользователь выполняет вход на компьютер и переходит на веб-узел SSL/TLS, защищенном novel доверенным корневым.
-
Автоматически обновляет существующий установленный корневой CAPI. В результате размер корневого увеличить или изменить порядок перечисления.
-
Происходит изменение в код заказа перечисления сертификатов (например, установки исправления, изменения кода хранилище сертификатов или изменения таблицы сортировки).
-
Пользователь переключается с помощью сертификатов.
-
Администратор устанавливает новые сертификаты в доверенное корневое хранилище.
-
В этом случае проверка подлинности сертификата клиента больше не работает.
Примечание. Эта проблема возникает независимо от значения параметра реестра SendTrustedIssuerList . Другими словами нельзя разрешить эту проблему, изменив значение параметра реестра SendTrustedIssuerList . Запись реестра SendTrustedIssuerList находится в следующем подразделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Причина
Эта проблема возникает из-за неправильно усекаются список доверенных корневых центров сертификации на стороне сервера. По умолчанию сервер не отправляет список на стороне клиента во время проверки сертификата клиента. Таким образом усечение не является обязательным.
Решение
Это исправление доступно также в каталоге Центра обновления Майкрософт.
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления необходимо наличие Windows Server 2012 и Windows 8.
Сведения о реестре
Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows 8 и Windows Server 2012Важно. Исправления для Windows Server 2012 и Windows 8 исправления включены в те же пакеты. Однако только «Windows 8» отображается на странице запрос исправления. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows 8» на странице. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.2.920 0.20 xxx
Windows Server 2012 и Windows 8
RTM
LDR
-
Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе «Дополнительные «сведения о файлах для Windows Server 2012 и Windows 8. Файлы MUM и MANIFEST, а также связанные файлы каталога безопасности (CAT) чрезвычайно важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых версий Windows 8 для систем на базе x86
Свойства файла |
Значение |
---|---|
Имя файла |
Schannel.dll |
Версия файла |
6.2.9200.20810 |
Размер файла |
325,632 |
Дата (UTC) |
29-Aug-2013 |
Время (UTC) |
04:11 |
Платформа |
x86 |
Для всех поддерживаемых версий x64 под управлением Windows 8 и Windows Server 2012
Свойства файла |
Значение |
---|---|
Имя файла |
Schannel.dll |
Версия файла |
6.2.9200.20810 |
Размер файла |
416,256 |
Дата (UTC) |
29-Aug-2013 |
Время (UTC) |
05:25 |
Платформа |
x64 |
Имя файла |
Schannel.dll |
Версия файла |
6.2.9200.20810 |
Размер файла |
325,632 |
Дата (UTC) |
29-Aug-2013 |
Время (UTC) |
04:11 |
Платформа |
x86 |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Максимальный размер пакета TLS, передаваемых по сети составляет 16 КБ. В проблеме, описанной в этой статье сервер формирует список различающихся имен приемлемых сертификации и клиент отправляет список. Если количество допустимых сертификатов большой (например, более чем 300 сертификатов), размер пакета TLS может превышать 16 КБ. Таким образом сервер усекает список 16 КБ для отправки списка клиентов.
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах для Windows Server 2012 и Windows 8
Дополнительные файлы для всех поддерживаемых версий Windows 8 для систем на базе x86
Свойства файла |
Значение |
---|---|
Имя файла |
X86_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_1f92a99e3f9206f5.manifest |
Версия файла |
Неприменимо |
Размер файла |
13,286 |
Дата (UTC) |
29-Aug-2013 |
Время (UTC) |
05:00 |
Платформа |
Неприменимо |
Дополнительные файлы для всех поддерживаемых версий x64 под управлением Windows 8 и Windows Server 2012
Свойства файла |
Значение |
---|---|
Имя файла |
Amd64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_7bb14521f7ef782b.manifest |
Версия файла |
Неприменимо |
Размер файла |
13,290 |
Дата (UTC) |
29-Aug-2013 |
Время (UTC) |
06:43 |
Платформа |
Неприменимо |
Имя файла |
Wow64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_8605ef742c503a26.manifest |
Версия файла |
Неприменимо |
Размер файла |
7,312 |
Дата (UTC) |
29-Aug-2013 |
Время (UTC) |
04:51 |
Платформа |
Неприменимо |