Os clientes não podem se autenticar com um servidor depois que você obtém um novo certificado para substituir um certificado expirado no servidor
Este artigo fornece uma solução para um problema em que os clientes não podem se autenticar com um servidor depois que você obtém um novo certificado para substituir um certificado expirado no servidor.
Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 822406
Sintomas
Depois de substituir um certificado expirado por um novo certificado em um servidor que está executando o IAS (Serviço de Autenticação da Internet) da Microsoft ou Roteamento e Acesso Remoto, os clientes que têm Autenticação Extensível Protocol-Transport Segurança de Camada (EAP-TLS) configurados para verificar se o certificado do servidor não pode mais se autenticar com o servidor. Ao exibir o log do Sistema Visualizador de Eventos no computador cliente, o evento a seguir é exibido.
Se você habilitar o log verboso no servidor que está executando IAS ou Roteamento e Acesso Remoto (por exemplo, executando o netsh ras set tracing * enable comando), informações semelhantes à seguinte serão exibidas no arquivo Rastls.log gerado quando um cliente tenta se autenticar.
Observação
Se você estiver usando IAS como seu servidor Radius para autenticação, verá esse comportamento no servidor IAS. Se você estiver usando o Roteamento e o Acesso Remoto, e o Roteamento e o Acesso Remoto estiverem configurados para Autenticação do Windows (não autenticação radius), você verá esse comportamento no servidor de Roteamento e Acesso Remoto.
[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK não será ignorado
[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE não será ignorado
[1072] 15:47:57:280: O certificado raiz não será verificado para revogação
[1072] 15:47:57:280: O certificado será verificado para revogação
[1072] 15:47:57:280:
[1072] 15:47:57:280: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:280: >> Resposta recebida (Código: 2) pacote: Id: 11, Comprimento: 25, Tipo: 0, comprimento do blob TLS: 0. Sinalizadores:
[1072] 15:47:57:280: EapTlsSMakeMessage
[1072] 15:47:57:280: EapTlsReset
[1072] 15:47:57:280: Alteração de estado para Inicial
[1072] 15:47:57:280: GetCredentials
[1072] 15:47:57:280: O nome no certificado é: server.example.com
[1072] 15:47:57:312: BuildPacket
[1072] 15:47:57:312: << Envio de solicitação (código: 1) pacote: Id: 12, Comprimento: 6, Tipo: 13, comprimento do blob TLS: 0. Sinalizadores: S
[1072] 15:47:57:312: Alteração de estado para SentStart
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Example\client)
[1072] 15:47:57:452:
[1072] 15:47:57:452: EapTlsMakeMessage(Exemplo\cliente)
[1072] 15:47:57:452: >> Resposta recebida (Código: 2) pacote: Id: 12, Comprimento: 80, Tipo: 13, comprimento do blob TLS: 70. Sinalizadores: L
[1072] 15:47:57:452: EapTlsSMakeMessage
[1072] 15:47:57:452: MakeReplyMessage
[1072] 15:47:57:452: Realocando o buffer de blob TLS de entrada
[1072] 15:47:57:452: SecurityContextFunction
[1072] 15:47:57:671: Alteração de estado para SentHello
[1072] 15:47:57:671: BuildPacket
[1072] 15:47:57:671: << Envio de solicitação (código: 1) pacote: Id: 13, Comprimento: 1498, Tipo: 13, comprimento do blob TLS: 3874. Sinalizadores: LM
[1072] 15:47:57:702:
[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:702: >> Resposta recebida (Código: 2) pacote: Id: 13, Comprimento: 6, Tipo: 13, comprimento do blob TLS: 0. Sinalizadores:
[1072] 15:47:57:702: EapTlsSMakeMessage
[1072] 15:47:57:702: BuildPacket
[1072] 15:47:57:702: << Envio de solicitação (código: 1) pacote: Id: 14, Comprimento: 1498, Tipo: 13, comprimento do blob TLS: 0. Sinalizadores: M
[1072] 15:47:57:718:
[1072] 15:47:57:718: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:718: >> Resposta recebida (Código: 2) pacote: Id: 14, Comprimento: 6, Tipo: 13, comprimento do blob TLS: 0. Sinalizadores:
[1072] 15:47:57:718: EapTlsSMakeMessage
[1072] 15:47:57:718: BuildPacket
[1072] 15:47:57:718: << Envio de solicitação (código: 1) pacote: Id: 15, Comprimento: 900, Tipo: 13, comprimento do blob TLS: 0. Sinalizadores:
[1072] 15:48:12:905:
[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)
[1072] 15:48:12:905: >> Resposta recebida (Código: 2) pacote: Id: 15, Comprimento: 6, Tipo: 13, comprimento do blob TLS: 0. Sinalizadores:
[1072] 15:48:12:905: EapTlsSMakeMessage
[1072] 15:48:12:905: MakeReplyMessage
[1072] 15:48:12:905: SecurityContextFunction
[1072] 15:48:12:905: alteração de estado para SentFinished. Erro: 0x80090318
[1072] 15:48:12:905: Negociação sem sucesso
[1072] 15:48:12:905: BuildPacket
[1072] 15:48:12:905: << Envio de falha (Código: 4) pacote: Id: 15, Comprimento: 4, Tipo: 0, Blob le TLS
Motivo
Esse problema poderá ocorrer se todas as seguintes condições forem verdadeiras:
- O servidor IAS ou Roteamento e Acesso Remoto é um membro de domínio, mas a funcionalidade de solicitações automáticas de certificado (registro automático) não está configurada no domínio. Ou, o IAS ou o servidor de Roteamento e Acesso Remoto não é um membro de domínio.
- Você solicita e recebe manualmente um novo certificado para o servidor IAS ou Roteamento e Acesso Remoto.
- Você não remove o certificado expirado da IAS ou do servidor de Roteamento e Acesso Remoto. Se um certificado expirado estiver presente no servidor IAS ou Roteamento e Acesso Remoto junto com um novo certificado válido, a autenticação do cliente não terá êxito. O resultado "Erro 0x80090328" exibido no Log de Eventos no computador cliente corresponde a "Certificado Expirado".
Solução alternativa
Para contornar esse problema, remova o certificado expirado (arquivado). Para fazer isso, siga estas etapas:
- Abra o snap-in do Microsoft Management Console (MMC), no qual você gerencia o repositório de certificados no servidor IAS. Se você ainda não tiver um snap-in do MMC para exibir o repositório de certificados, crie um. Para fazer isso:
Selecione Iniciar, selecione Executar, digite mmc na caixa Abrir e selecione OK.
No menu Console (o menu Arquivo no Windows Server 2003), selecione Adicionar/Remover Snap-in e, em seguida, selecione Adicionar.
Na lista Snap-ins autônomos disponíveis , selecione Certificados, Selecione Adicionar, selecione Conta de computador, selecione Avançar e, em seguida, selecione Concluir.
Observação
Você também pode adicionar o snap-in Certificados para a conta de usuário e para a conta de serviço a este snap-in do MMC.
Selecione Fechar e, em seguida, selecione OK.
- Em Raiz do Console, selecione Certificados (Computador Local).
- No menu Exibir , selecione Opções.
- Clique para selecionar a caixa certificados arquivados marcar e selecione OK.
- Expanda Pessoal e selecione Certificados.
- Clique com o botão direito do mouse no certificado digital expirado (arquivado), selecione Excluir e selecione Sim para confirmar a remoção do certificado expirado.
- Saia do snap-in do MMC. Você não precisa reiniciar o computador ou nenhum serviço para concluir esse procedimento.
Mais informações
A Microsoft recomenda que você configure solicitações automáticas de certificado para renovar certificados digitais em sua organização. Para obter mais informações, confira Registro automático de certificado no Windows XP
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários