I client non possono eseguire l'autenticazione con un server dopo aver ottenuto un nuovo certificato per sostituire un certificato scaduto nel server
Questo articolo fornisce una soluzione a un problema per cui i client non possono eseguire l'autenticazione con un server dopo aver ottenuto un nuovo certificato per sostituire un certificato scaduto nel server.
Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 822406
Sintomi
Dopo aver sostituito un certificato scaduto con un nuovo certificato in un server che esegue Microsoft Internet Authentication Service (IAS) o Routing e Accesso remoto, i client con autenticazione estendibile Protocol-Transport Layer Security (EAP-TLS) configurati per verificare che il certificato del server non possa più eseguire l'autenticazione con il server. Quando si visualizza l'Visualizzatore eventi di accesso di sistema nel computer client, viene visualizzato l'evento seguente.
Se si abilita la registrazione dettagliata nel server che esegue IAS o Routing e Accesso remoto (ad esempio, eseguendo il netsh ras set tracing * enable comando ), le informazioni simili a quelle seguenti vengono visualizzate nel file Rastls.log generato quando un client tenta di eseguire l'autenticazione.
Nota
Se si usa IAS come server Radius per l'autenticazione, questo comportamento viene visualizzato nel server IAS. Se si usa Routing e Accesso remoto e Routing e Accesso remoto sono configurati per l'autenticazione di Windows (non l'autenticazione Radius), questo comportamento viene visualizzato nel server Routing e Accesso remoto.
[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK non verrà ignorato
[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE non verrà ignorato
[1072] 15:47:57:280: Il certificato radice non verrà controllato per la revoca
[1072] 15:47:57:280: Il certificato verrà controllato per la revoca
[1072] 15:47:57:280:
[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:280: >> Risposta ricevuta (codice: 2) pacchetto: ID: 11, Lunghezza: 25, Tipo: 0, Lunghezza BLOB TLS: 0. Bandiere:
[1072] 15:47:57:280: EapTlsSMakeMessage
[1072] 15:47:57:280: EapTlsReset
[1072] 15:47:57:280: Modifica dello stato in Iniziale
[1072] 15:47:57:280: GetCredentials
[1072] 15:47:57:280: Il nome nel certificato è: server.example.com
[1072] 15:47:57:312: BuildPacket
[1072] 15:47:57:312: << Invio di richiesta (codice: 1) pacchetto: ID: 12, lunghezza: 6, tipo: 13, lunghezza blob TLS: 0. Flag: S
[1072] 15:47:57:312: Modifica dello stato in SentStart
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:452:
[1072] 15:47:57:452: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:452: >> Received Response (Code: 2) packet: Id: 12, Length: 80, Type: 13, TLS BLOB length: 70. Flag: L
[1072] 15:47:57:452: EapTlsSMakeMessage
[1072] 15:47:57:452: MakeReplyMessage
[1072] 15:47:57:452: Riallocazione del buffer BLOB TLS di input
[1072] 15:47:57:452: SecurityContextFunction
[1072] 15:47:57:671: Passaggio dello stato a SentHello
[1072] 15:47:57:671: BuildPacket
[1072] 15:47:57:671: << Invio di richieste (codice: 1) pacchetto: ID: 13, lunghezza: 1498, tipo: 13, lunghezza blob TLS: 3874. Flag: LM
[1072] 15:47:57:702:
[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:702: >> Received Response (Code: 2) packet: Id: 13, Length: 6, Type: 13, TLS BLOB length: 0. Bandiere:
[1072] 15:47:57:702: EapTlsSMakeMessage
[1072] 15:47:57:702: BuildPacket
[1072] 15:47:57:702: << Invio di richieste (codice: 1) pacchetto: ID: 14, lunghezza: 1498, tipo: 13, lunghezza blob TLS: 0. Flag: M
[1072] 15:47:57:718:
[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:718: >> Received Response (Code: 2) packet: Id: 14, Length: 6, Type: 13, TLS BLOB length: 0. Bandiere:
[1072] 15:47:57:718: EapTlsSMakeMessage
[1072] 15:47:57:718: BuildPacket
[1072] 15:47:57:718: << Invio di richiesta (codice: 1) pacchetto: ID: 15, Lunghezza: 900, Tipo: 13, Lunghezza BLOB TLS: 0. Bandiere:
[1072] 15:48:12:905:
[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)
[1072] 15:48:12:905: >> Received Response (Code: 2) packet: Id: 15, Length: 6, Type: 13, TLS BLOB length: 0. Bandiere:
[1072] 15:48:12:905: EapTlsSMakeMessage
[1072] 15:48:12:905: MakeReplyMessage
[1072] 15:48:12:905: SecurityContextFunction
[1072] 15:48:12:905: Lo stato cambia in SentFinished. Errore: 0x80090318
[1072] 15:48:12:905: Negoziazione non riuscita
[1072] 15:48:12:905: BuildPacket
[1072] 15:48:12:905: << Invio di errori (codice: 4) pacchetto: ID: 15, Lunghezza: 4, Tipo: 0, BLOB TLS le
Causa
Questo problema può verificarsi se tutte le condizioni seguenti sono vere:
- Il server IAS o Routing e Accesso remoto è un membro del dominio, ma la funzionalità delle richieste di certificati automatiche (registrazione automatica) non è configurata nel dominio. In alternativa, il server IAS o Routing e Accesso remoto non è un membro di dominio.
- Si richiede e si riceve manualmente un nuovo certificato per il server IAS o Routing e Accesso remoto.
- Il certificato scaduto non viene rimosso dal server IAS o Routing e Accesso remoto. Se nel server IAS o Routing e Accesso remoto è presente un certificato scaduto insieme a un nuovo certificato valido, l'autenticazione client non riesce. Il risultato "Error 0x80090328" visualizzato nel registro eventi nel computer client corrisponde a "Expired Certificate".
Soluzione alternativa
Per risolvere questo problema, rimuovere il certificato scaduto (archiviato). Per effettuare questa operazione, seguire questi passaggi:
- Aprire lo snap-in Microsoft Management Console (MMC) in cui si gestisce l'archivio certificati nel server IAS. Se non si dispone già di uno snap-in MMC da cui visualizzare l'archivio certificati, crearne uno. A questo scopo:
Selezionare Start, selezionare Esegui, digitare mmc nella casella Apri e quindi selezionare OK.
Nel menu Console (menu File in Windows Server 2003) selezionare Aggiungi/Rimuovi snap-in e quindi selezionare Aggiungi.
Nell'elenco Snap-in autonomi disponibili selezionare Certificati, selezionare Aggiungi, selezionare Account computer, selezionare Avanti e quindi fine.
Nota
È anche possibile aggiungere lo snap-in Certificati per l'account utente e per l'account del servizio a questo snap-in MMC.
Fare clic su Chiudi, quindi su OK.
- In Radice console selezionare Certificati (computer locale).
- Scegliere Opzioni dal menu Visualizza.
- Fare clic per selezionare la casella di controllo Certificati archiviati e quindi selezionare OK.
- Espandere Personale e quindi selezionare Certificati.
- Fare clic con il pulsante destro del mouse sul certificato digitale scaduto (archiviato), selezionare Elimina e quindi selezionare Sì per confermare la rimozione del certificato scaduto.
- Chiudere lo snap-in MMC. Non è necessario riavviare il computer o i servizi per completare questa procedura.
Ulteriori informazioni
Microsoft consiglia di configurare le richieste di certificati automatiche per rinnovare i certificati digitali nell'organizzazione. Per altre informazioni, vedere Registrazione automatica dei certificati in Windows XP
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per