Clients können sich nicht bei einem Server authentifizieren, nachdem Sie ein neues Zertifikat erhalten haben, um ein abgelaufenes Zertifikat auf dem Server zu ersetzen.
Dieser Artikel bietet eine Lösung für ein Problem, bei dem Clients sich nicht bei einem Server authentifizieren können, nachdem Sie ein neues Zertifikat erhalten haben, um ein abgelaufenes Zertifikat auf dem Server zu ersetzen.
Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 822406
Symptome
Nachdem Sie ein abgelaufenes Zertifikat durch ein neues Zertifikat auf einem Server ersetzt haben, auf dem der Microsoft Internet Authentication Service (IAS) oder Routing und Remotezugriff ausgeführt wird, werden Clients mit Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) konfiguriert, um zu überprüfen, ob sich das Zertifikat des Servers nicht mehr beim Server authentifizieren kann. Wenn Sie das Systemprotokoll in Ereignisanzeige auf dem Clientcomputer anzeigen, wird das folgende Ereignis angezeigt.
Wenn Sie die ausführliche Protokollierung auf dem Server aktivieren, auf dem IAS oder Routing und Remotezugriff ausgeführt wird (z. B. durch Ausführen des netsh ras set tracing * enable Befehls), werden Informationen ähnlich der folgenden in der Rastls.log-Datei angezeigt, die generiert wird, wenn ein Client versucht, sich zu authentifizieren.
Hinweis
Wenn Sie IAS als Radius-Server für die Authentifizierung verwenden, wird dieses Verhalten auf dem IAS-Server angezeigt. Wenn Sie Routing und RAS verwenden und Routing und RAS für die Windows-Authentifizierung (nicht die Radius-Authentifizierung) konfiguriert sind, wird dieses Verhalten auf dem Routing- und RAS-Server angezeigt.
[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK werden nicht ignoriert
[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE werden nicht ignoriert
[1072] 15:47:57:280: Das Stammzertifikat wird nicht auf Sperrung überprüft
[1072] 15:47:57:280: Das Zertifikat wird auf Widerruf überprüft
[1072] 15:47:57:280:
[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:280: >> Empfangene Antwort (Code: 2) Paket: ID: 11, Länge: 25, Typ: 0, TLS-Bloblänge: 0. Flaggen:
[1072] 15:47:57:280: EapTlsSMakeMessage
[1072] 15:47:57:280: EapTlsReset
[1072] 15:47:57:280: Statusänderung in Initial
[1072] 15:47:57:280: GetCredentials
[1072] 15:47:57:280: Der Name im Zertifikat lautet: server.example.com
[1072] 15:47:57:312: BuildPacket
[1072] 15:47:57:312: << Senden einer Anforderung (Code: 1) Paket: ID: 12, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flags: S
[1072] 15:47:57:312: Statusänderung in SentStart
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:452:
[1072] 15:47:57:452: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:452: >> Empfangene Antwort (Code: 2) Paket: ID: 12, Länge: 80, Typ: 13, TLS-Bloblänge: 70. Flags: L
[1072] 15:47:57:452: EapTlsSMakeMessage
[1072] 15:47:57:452: MakeReplyMessage
[1072] 15:47:57:452: Neuzuordnung des TLS-Blobpuffers
[1072] 15:47:57:452: SecurityContextFunction
[1072] 15:47:57:671: Statusänderung in SentHello
[1072] 15:47:57:671: BuildPacket
[1072] 15:47:57:671: << Senden einer Anforderung (Code: 1) Paket: ID: 13, Länge: 1498, Typ: 13, TLS-Bloblänge: 3874. Flags: LM
[1072] 15:47:57:702:
[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:702: >> Empfangene Antwort (Code: 2) Paket: ID: 13, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flaggen:
[1072] 15:47:57:702: EapTlsSMakeMessage
[1072] 15:47:57:702: BuildPacket
[1072] 15:47:57:702: << Senden einer Anforderung (Code: 1) Paket: ID: 14, Länge: 1498, Typ: 13, TLS-Bloblänge: 0. Flags: M
[1072] 15:47:57:718:
[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:718: >> Empfangene Antwort (Code: 2) Paket: ID: 14, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flaggen:
[1072] 15:47:57:718: EapTlsSMakeMessage
[1072] 15:47:57:718: BuildPacket
[1072] 15:47:57:718: << Senden einer Anforderung (Code: 1) Paket: ID: 15, Länge: 900, Typ: 13, TLS-Bloblänge: 0. Flaggen:
[1072] 15:48:12:905:
[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)
[1072] 15:48:12:905: >> Empfangene Antwort (Code: 2) Paket: ID: 15, Länge: 6, Typ: 13, TLS-Bloblänge: 0. Flaggen:
[1072] 15:48:12:905: EapTlsSMakeMessage
[1072] 15:48:12:905: MakeReplyMessage
[1072] 15:48:12:905: SecurityContextFunction
[1072] 15:48:12:905: Statusänderung in Gesendet Abgeschlossen. Fehler: 0x80090318
[1072] 15:48:12:905: Verhandlungen nicht erfolgreich
[1072] 15:48:12:905: BuildPacket
[1072] 15:48:12:905: << Sendefehler (Code: 4) Paket: ID: 15, Länge: 4, Typ: 0, TLS-Blob le
Ursache
Dieses Problem kann auftreten, wenn alle folgenden Bedingungen erfüllt sind:
- Der IAS- oder Routing- und RAS-Server ist ein Domänenmitglied, aber die Funktionalität für automatische Zertifikatanforderungen (automatische Registrierung) ist in der Domäne nicht konfiguriert. Oder der IAS- oder Routing- und RAS-Server ist kein Domänenmitglied.
- Sie fordern manuell ein neues Zertifikat für den IAS- oder Routing- und RAS-Server an und erhalten es.
- Sie entfernen das abgelaufene Zertifikat nicht vom IAS- oder Routing- und RAS-Server. Wenn auf dem IAS- oder Routing- und RAS-Server ein abgelaufenes Zertifikat zusammen mit einem neuen gültigen Zertifikat vorhanden ist, ist die Clientauthentifizierung nicht erfolgreich. Das Ergebnis "Fehler 0x80090328", das im Ereignisprotokoll auf dem Clientcomputer angezeigt wird, entspricht "Abgelaufenes Zertifikat".
Problemumgehung
Um dieses Problem zu umgehen, entfernen Sie das abgelaufene (archivierte) Zertifikat. Gehen Sie dazu wie folgt vor:
- Öffnen Sie das MMC-Snap-In (Microsoft Management Console), in dem Sie den Zertifikatspeicher auf dem IAS-Server verwalten. Wenn Sie noch kein MMC-Snap-In zum Anzeigen des Zertifikatspeichers haben, erstellen Sie eins. Gehen Sie hierzu folgendermaßen vor:
Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie mmc in das Feld Öffnen ein, und wählen Sie dann OK aus.
Wählen Sie im Menü Konsole (in Windows Server 2003 im Menü Datei ) Snap-In hinzufügen/entfernen und dann Hinzufügen aus.
Wählen Sie in der Liste Verfügbare eigenständige Snap-Insdie Option Zertifikate, dann Hinzufügen, Computerkonto, Weiter und fertig stellen aus.
Hinweis
Sie können dem MMC-Snap-In auch das Zertifikat-Snap-In für das Benutzerkonto und das Dienstkonto hinzufügen.
Klicken Sie auf Schließen und anschließend auf OK.
- Wählen Sie unter Konsolenstammdie Option Zertifikate (Lokaler Computer) aus.
- Wählen Sie im Menü Ansichtdie Option Optionen aus.
- Aktivieren Sie das Kontrollkästchen Archivierte Zertifikate , und klicken Sie dann auf OK.
- Erweitern Sie Persönlich, und wählen Sie dann Zertifikate aus.
- Klicken Sie mit der rechten Maustaste auf das abgelaufene (archivierte) digitale Zertifikat, wählen Sie Löschen und dann Ja aus, um das Entfernen des abgelaufenen Zertifikats zu bestätigen.
- Beenden Sie das MMC-Snap-In. Sie müssen den Computer oder dienste nicht neu starten, um dieses Verfahren abzuschließen.
Weitere Informationen
Microsoft empfiehlt, dass Sie automatische Zertifikatanforderungen konfigurieren, um digitale Zertifikate in Ihrem organization zu erneuern. Weitere Informationen finden Sie unter Automatische Zertifikatregistrierung in Windows XP.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für