Nachdem Sie das Sicherheitsupdate MS04-11 installieren, wird die Fehlermeldung "403.13 Clientzertifikat widerrufen"

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 841632 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Es wird empfohlen, dass alle Benutzer zu Microsoft Internetinformationsdienste (IIS) 6.0 aktualisieren unter Microsoft Windows Server 2003 ausgeführt. IIS 6.0 erhöht deutlich Infrastruktur Websicherheit. Weitere Informationen zu sicherheitsrelevanten Themen im IIS der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
wichtig Dieser Artikel enthält Informationen zum Ändern der Registrierung. Sollten Sie die Registrierung sichern, bevor Sie Sie ändern. Stellen Sie sicher, dass Sie die Registrierung wiederherstellen kennen, wenn ein Problem auftritt. Weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986Beschreibung der Microsoft Windows-Registrierung
Alles erweitern | Alles schließen

Problembeschreibung

Nachdem Sie das MS04-011-Sicherheitsupdate auf einem Computer angewendet haben, auf denen Microsoft Windows 2000 Server und Microsoft Internet Information Services (IIS) 5.0 ausgeführt wird, erhalten Sie folgende Fehlermeldung, nachdem Sie ein Zertifikat ausgewählt:
403.13 Clientzertifikat widerrufen
Sie erhalten dieses Fehlermeldung, wenn die gegenseitige Authentifizierung aktiviert ist.

Ursache

Dieses Problem tritt wegen ein Zertifikat Revocation List (CRL) abrufen Timeout. MS04-011 führt ein neues Crypto API (CAPI) Verhalten in Bezug auf Netzwerk Timeouts. Diese Änderung wurde zuerst beheben das Problem der CAPI für lange während CRLs blockiert, wenn der Ziel-URL nicht verfügbar ist. Die Standardzeit für Windows 2000 Server und MS04-011 auf 15 Sekunden festgelegt ist, und Windows 2000 Server und MS04-011 enthalten ein Feature, das den Download auf einem Hintergrundthread mit einem Standardzeitlimit von 60 Sekunden wiederholt. CRLs, die auf einen URL (LIGHTWEIGHT Directory Access Protocol) befinden können insbesondere wegen der geringeren Durchsatz beeinträchtigt werden.

Lösung

Ein Hotfix zur Behebung dieses Problems ist inzwischen bei Microsoft erhältlich; dieser Hotfix wurde jedoch ausschließlich zur Behebung des in diesem Artikel beschriebenen Problems entwickelt. Deshalb sollten Sie nur Systeme aktualisieren, bei denen dieses spezielle Problem auftritt. Dieser Hotfix wird unter Umständen zu einem späteren Zeitpunkt weiteren Tests unterzogen. Wenn Sie durch dieses Problem nicht schwerwiegend betroffen sind, empfiehlt Microsoft daher, auf das nächste Microsoft Windows 2000 Service Pack warten, das diesen Hotfix enthält wird.

Wenn Sie das Problem sofort beheben möchten, wenden Sie sich an Microsoft Product Support Services, um den Hotfix zu erhalten. Eine vollständige Liste mit Telefonnummern der Microsoft-Produktsupport und Informationen Supportkosten der folgenden Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: PLEASE DO NOT TRANSLATE and DELETE THIS PASSAGE. IT DOES NOT APPLY TO GERMANY.

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung, um die Differenz zwischen UTC und der Ortszeit zu ermitteln.
  Date         Time   Version            Size    File name
--------------------------------------------------------------   
24-Mar-2004  02:17  5.0.2195.6876     388,368  Advapi32.dll     
24-Mar-2004  02:17  5.0.2195.6824      42,256  Basesrv.dll      
24-Mar-2004  02:17  5.0.2195.6866      69,904  Browser.dll      
21-Sep-2003  00:45  5.0.2195.6824     236,304  Cmd.exe          
14-Jul-2004  01:25  5.131.2195.6926   533,776  Crypt32.dll      
14-Jul-2004  01:25  5.131.2195.6926    62,736  Cryptnet.dll     
24-Mar-2004  02:17  5.0.2195.6868      76,048  Cryptsvc.dll     
24-Mar-2004  02:17  5.0.2195.6824     134,928  Dnsapi.dll       
24-Mar-2004  02:17  5.0.2195.6876      92,432  Dnsrslvr.dll     
15-Nov-2001  23:27                      5,149  Empty.cat
24-Mar-2004  02:17  5.0.2195.6883      47,888  Eventlog.dll     
19-Jun-2003  20:05  5.0.2195.6660     233,744  Gdi32.dll        
24-Mar-2004  02:17  5.0.2195.6890     143,632  Kdcsvc.dll       
11-Mar-2004  02:37  5.0.2195.6903     210,192  Kerberos.dll     
24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll     
21-Sep-2003  00:32  5.0.2195.6824      71,888  Ksecdd.sys
11-Mar-2004  02:37  5.0.2195.6902     520,976  Lsasrv.dll       
25-Feb-2004  23:59  5.0.2195.6902      33,552  Lsass.exe        
24-Mar-2004  02:17  5.0.2195.6824      54,544  Mpr.dll          
14-Jul-2004  01:25  5.0.2195.6958     335,120  Msgina.dll       
19-Jun-2003  20:05  5.0.2195.6680     117,520  Msv1_0.dll       
24-Mar-2004  02:17  5.0.2195.6897     312,592  Netapi32.dll     
19-Jun-2003  20:05  5.0.2195.6695     371,984  Netlogon.dll     
24-Mar-2004  02:17  5.0.2195.6896   1,028,880  Ntdsa.dll        
24-Mar-2004  02:17  5.0.2195.6824     115,984  Psbase.dll       
24-Mar-2004  02:17  5.0.2195.6892      90,264  Rdpwd.sys
24-Mar-2004  02:17  5.0.2195.6897     388,368  Samsrv.dll       
24-Mar-2004  02:17  5.0.2195.6893     111,376  Scecli.dll       
24-Mar-2004  02:17  5.0.2195.6903     253,200  Scesrv.dll       
04-Jun-2004  23:13  5.0.2195.6935   5,887,488  Sp3res.dll       
05-Apr-2004  17:26  5.4.15.0            6,656  Spmsg.dll        
05-Apr-2004  17:27  5.4.15.0          158,208  Spuninst.exe     
24-Mar-2004  02:17  5.0.2195.6897     403,216  User32.dll       
14-Jul-2004  01:25  5.0.2195.6958     393,488  Userenv.dll      
24-Mar-2004  02:17  5.0.2195.6824      50,960  W32time.dll      
21-Sep-2003  00:32  5.0.2195.6824      57,104  W32tm.exe        
10-Jul-2004  05:36  5.0.2195.6958   1,631,760  Win32k.sys
12-Dec-2003  21:38  5.1.2600.1327     311,296  Winhttp.dll      
11-Mar-2004  02:37  5.0.2195.6898     181,520  Winlogon.exe     
25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll       
24-Mar-2004  02:17  5.131.2195.6824   167,184  Wintrust.dll     
24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll     
10-Jul-2004  05:36  5.0.2195.6958   1,631,760  Win32k.sys
25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll       
19-Sep-2003  22:09                      4,092  Eula.txt
14-Jul-2004  01:56                     19,262  Kb841632.cat
05-Apr-2004  17:27  5.4.15.0           22,016  Spcustom.dll     
05-Apr-2004  17:26  5.4.15.0          616,960  Update.exe       
14-Jul-2004  01:11                     44,156  Update.inf
14-Jul-2004  01:53                      2,882  Update.ver
 
Hinweis: Wenn Dienste eine ZERTIFIKATSPERRLISTE abrufen müssen, müssen Sie den Computer neu starten. LSASS müssen z. B. eine ZERTIFIKATSSPERRLISTE zum Überprüfen von Smartcard-Anmeldung abrufen. Wenn den Computer nicht neu starten, erkennen diese Arten von Diensten die Änderung der Registrierung nicht.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Weitere Informationen

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung falsch mithilfe des Registrierungs-Editors oder mithilfe einer anderen Methode ändern. Diese Probleme erfordern möglicherweise eine Ihr Betriebssystem neu installieren. Microsoft kann nicht garantieren, dass diese Probleme gelöst werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Nachdem Sie diesen Hotfix angewendet haben, können Sie die folgende URL abrufen Timeoutwerte konfigurieren:
  • ChainUrlRetrievalTimeoutMilliseconds
  • ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
Sie können diese Werte unter den folgenden Registrierungsschlüsselwert konfigurieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Name: ChainUrlRetrievalTimeoutMilliseconds
Typ: REG_DWORD
Wert: Dieser Wert ist das Timeout in Millisekunden. Wenn dieser Wert auf 0 gesetzt ist oder nicht vorhanden ist, wird ein Standardwert von 15000 Millisekunden verwendet.
ChainUrlRetrievalTimeoutMilliseconds ist das Standard-URL-Zeitlimit für die Zertifizierungsstelle Informationen Zugriff (AIA) Abrufe und nicht akkumulativ CRLs.
Name: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds:
Typ: REG_DWORD
Werte: Dieser Wert ist das Timeout in Millisekunden. Wenn dieser Wert auf 0 gesetzt ist oder nicht vorhanden ist, wird ein Standardwert von 20000 Millisekunden verwendet.
ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds ist der akkumulativ Standard-Sperrung-URL Timeout. Das erste Sperrung URL abrufen verwendet Hälfte dieses Timeout.

Informationsquellen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
841641Nach der Installation von MS04-011 aufgrund der WinInet-Proxyeinstellungen, gibt IIS einen "403.13 Client Zertifikat gesperrt" Fehlermeldung zurück
841642Fehler bei Client-Zertifikate auftreten nach der Installation des MS04-011-Sicherheitsupdates auf einem IIS 5.0-computer

Eigenschaften

Artikel-ID: 841632 - Geändert am: Dienstag, 21. November 2006 - Version: 7.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
Keywords: 
kbmt kbfix kbprb kbhotfixserver kbqfe KB841632 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 841632
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Disclaimer zu nicht mehr gepflegten KB-Inhalten
Dieser Artikel wurde für Produkte verfasst, für die Microsoft keinen Support mehr anbietet. Der Artikel wird deshalb in der vorliegenden Form bereitgestellt und nicht mehr weiter aktualisiert.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com