Sunucudaki süresi dolan bir sertifikayı değiştirmek için yeni bir sertifika aldıktan sonra istemciler sunucuyla kimlik doğrulaması yapamaz
Bu makalede, sunucudaki süresi dolan bir sertifikayı değiştirmek için yeni bir sertifika aldıktan sonra istemcilerin sunucuyla kimlik doğrulaması yapmamasına neden olan bir soruna çözüm sağlanır.
Şunlar için geçerlidir: Windows 10 - tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 822406
Belirtiler
Süresi dolan bir sertifikayı Microsoft Internet Authentication Service (IAS) veya Yönlendirme ve Uzaktan Erişim çalıştıran bir sunucuda yeni bir sertifikayla değiştirdikten sonra, sunucunun sertifikasının artık sunucuyla kimlik doğrulamasının başarısız olduğunu doğrulamak için Genişletilebilir Kimlik Doğrulaması Protocol-Transport Katman Güvenliği (EAP-TLS) yapılandırılmış istemciler. İstemci bilgisayarda Sistem oturum açma Olay Görüntüleyicisi görüntülediğinizde aşağıdaki olay görüntülenir.
IAS veya Yönlendirme ve Uzaktan Erişim çalıştıran sunucuda ayrıntılı günlük kaydını etkinleştirirseniz (örneğin, komutunu çalıştırarak netsh ras set tracing * enable ), istemci kimlik doğrulamayı denediğinde oluşturulan Rastls.log dosyasında aşağıdakine benzer bilgiler görüntülenir.
Not
Kimlik doğrulaması için Radius sunucunuz olarak IAS kullanıyorsanız, IAS sunucusunda bu davranışı görürsünüz. Yönlendirme ve Uzaktan Erişim kullanıyorsanız ve Yönlendirme ve Uzaktan Erişim Windows Kimlik Doğrulaması için yapılandırılmışsa (Radius kimlik doğrulaması için değil), Yönlendirme ve Uzaktan Erişim sunucusunda bu davranışı görürsünüz.
[1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK yoksayılmaz
[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE yoksayılmaz
[1072] 15:47:57:280: Kök sertifika iptal için denetlenmeyecek
[1072] 15:47:57:280: Sertifika iptal için denetlenecek
[1072] 15:47:57:280:
[1072] 15:47:57:280: EapTlsMakeMessage(Örnek\istemci)
[1072] 15:47:57:280: >> Alınan Yanıt (Kod: 2) paketi: Kimlik: 11, Uzunluk: 25, Tür: 0, TLS blob uzunluğu: 0. Bayrak:
[1072] 15:47:57:280: EapTlsSMakeMessage
[1072] 15:47:57:280: EapTlsReset
[1072] 15:47:57:280: Durum başlangıç olarak değiştirildi
[1072] 15:47:57:280: GetCredentials
[1072] 15:47:57:280: Sertifikadaki ad: server.example.com
[1072] 15:47:57:312: BuildPacket
[1072] 15:47:57:312: << Gönderme İsteği (Kod: 1) paketi: Kimlik: 12, Uzunluk: 6, Tür: 13, TLS blob uzunluğu: 0. Bayraklar: S
[1072] 15:47:57:312: SentStart olarak durum değişikliği
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Örnek\istemci)
[1072] 15:47:57:312:
[1072] 15:47:57:312: EapTlsEnd(Örnek\istemci)
[1072] 15:47:57:452:
[1072] 15:47:57:452: EapTlsMakeMessage(Örnek\istemci)
[1072] 15:47:57:452: >> Alınan Yanıt (Kod: 2) paketi: Kimlik: 12, Uzunluk: 80, Tür: 13, TLS blob uzunluğu: 70. Bayraklar: L
[1072] 15:47:57:452: EapTlsSMakeMessage
[1072] 15:47:57:452: MakeReplyMessage
[1072] 15:47:57:452: Giriş TLS blob arabelleği yeniden konumlandırılıyor
[1072] 15:47:57:452: SecurityContextFunction
[1072] 15:47:57:671: SentHello'ya durum değişikliği
[1072] 15:47:57:671: BuildPacket
[1072] 15:47:57:671: << Gönderme İsteği (Kod: 1) paketi: Kimlik: 13, Uzunluk: 1498, Tür: 13, TLS blob uzunluğu: 3874. Bayraklar: LM
[1072] 15:47:57:702:
[1072] 15:47:57:702: EapTlsMakeMessage(Example\client)
[1072] 15:47:57:702: >> Alınan Yanıt (Kod: 2) paketi: Kimlik: 13, Uzunluk: 6, Tür: 13, TLS blob uzunluğu: 0. Bayrak:
[1072] 15:47:57:702: EapTlsSMakeMessage
[1072] 15:47:57:702: BuildPacket
[1072] 15:47:57:702: << Gönderme İsteği (Kod: 1) paketi: Kimlik: 14, Uzunluk: 1498, Tür: 13, TLS blob uzunluğu: 0. Bayraklar: M
[1072] 15:47:57:718:
[1072] 15:47:57:718: EapTlsMakeMessage(Örnek\istemci)
[1072] 15:47:57:718: >> Alınan Yanıt (Kod: 2) paketi: Kimlik: 14, Uzunluk: 6, Tür: 13, TLS blob uzunluğu: 0. Bayrak:
[1072] 15:47:57:718: EapTlsSMakeMessage
[1072] 15:47:57:718: BuildPacket
[1072] 15:47:57:718: << Gönderme İsteği (Kod: 1) paketi: Kimlik: 15, Uzunluk: 900, Tür: 13, TLS blob uzunluğu: 0. Bayrak:
[1072] 15:48:12:905:
[1072] 15:48:12:905: EapTlsMakeMessage(Example\client)
[1072] 15:48:12:905: >> Alınan Yanıt (Kod: 2) paketi: Kimlik: 15, Uzunluk: 6, Tür: 13, TLS blob uzunluğu: 0. Bayrak:
[1072] 15:48:12:905: EapTlsSMakeMessage
[1072] 15:48:12:905: MakeReplyMessage
[1072] 15:48:12:905: SecurityContextFunction
[1072] 15:48:12:905: SentFinished olarak durum değişikliği. Hata: 0x80090318
[1072] 15:48:12:905: Anlaşma başarısız oldu
[1072] 15:48:12:905: BuildPacket
[1072] 15:48:12:905: << Gönderme Hatası (Kod: 4) paket: Kimlik: 15, Uzunluk: 4, Tür: 0, TLS blob le
Neden
Aşağıdaki koşulların tümü doğruysa bu sorun oluşabilir:
- IAS veya Yönlendirme ve Uzaktan Erişim sunucusu bir etki alanı üyesidir, ancak etki alanında otomatik sertifika istekleri işlevselliği (otomatik kayıt) yapılandırılmaz. Veya IAS veya Yönlendirme ve Uzaktan Erişim sunucusu bir etki alanı üyesi değildir.
- IAS veya Yönlendirme ve Uzaktan Erişim sunucusu için el ile yeni bir sertifika ister ve alırsınız.
- Süresi dolan sertifikayı IAS veya Yönlendirme ve Uzaktan Erişim sunucusundan kaldırmazsınız. IAS veya Yönlendirme ve Uzaktan Erişim sunucusunda yeni geçerli bir sertifikayla birlikte süresi dolmuş bir sertifika varsa, istemci kimlik doğrulaması başarılı olmaz. İstemci bilgisayardaki Olay Günlüğü'nde görüntülenen "Hata 0x80090328" sonucu "Süresi Dolmuş Sertifika"ya karşılık gelir.
Geçici Çözüm
Bu sorunu geçici olarak çözmek için süresi dolan (arşivlenmiş) sertifikayı kaldırın. Bunu yapmak için şu adımları uygulayın:
- IAS sunucusunda sertifika deposunu yönettiğiniz Microsoft Yönetim Konsolu (MMC) ek bileşenini açın. Sertifika deposunu görüntülemek için bir MMC ek bileşeniniz yoksa, bir tane oluşturun. Bunu yapmak için:
Başlat'ı seçin, Çalıştır'ı seçin, Aç kutusuna mmc yazın ve ardından Tamam'ı seçin.
Konsol menüsünde (Windows Server 2003'teki Dosya menüsü), Ek Bileşen Ekle/Kaldır'ı ve ardından Ekle'yi seçin.
Kullanılabilir Tek Başına Ek Bileşenler listesinde Sertifikalar'ı seçin, Ekle'yi seçin, Bilgisayar hesabı'nı seçin, İleri'yi ve ardından Son'u seçin.
Not
Ayrıca, kullanıcı hesabı ve hizmet hesabı için Sertifikalar ek bileşenini bu MMC ek bileşenine ekleyebilirsiniz.
Kapat'ı ve ardından Tamam'ı seçin.
- Konsol Kökü altında Sertifikalar (Yerel Bilgisayar)'ı seçin.
- Görünüm menüsünde Seçenekler'i seçin.
- Arşivlenmiş sertifikalar onay kutusunu tıklatıp seçin ve ardından Tamam'ı seçin.
- Kişisel'i genişletin ve sertifikalar'ı seçin.
- Süresi dolmuş (arşivlenmiş) dijital sertifikaya sağ tıklayın, Sil'i seçin ve ardından evet'i seçerek süresi dolan sertifikanın kaldırılmasını onaylayın.
- MMC ek bileşeninden çıkın. Bu yordamı tamamlamak için bilgisayarı veya herhangi bir hizmeti yeniden başlatmanız gerekmez.
Daha fazla bilgi
Microsoft, kuruluşunuzdaki dijital sertifikaları yenilemek için otomatik sertifika isteklerini yapılandırmanızı önerir. Daha fazla bilgi için bkz. Windows XP'de Sertifika Otomatik Kaydı
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin