Recibe el mensaje de error "403.13 certificado de cliente revocado" después de instalar la actualización de seguridad MS04 11

Seleccione idioma Seleccione idioma
Id. de artículo: 841632 - Ver los productos a los que se aplica este artículo
Recomendamos encarecidamente que todos los usuarios actualizar a Microsoft Internet Information Services (IIS) versión 6.0 que se ejecutan en Microsoft Windows Server 2003. IIS 6.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
importante Este artículo contiene información acerca de cómo modificar el registro. Compruebe que ha hecho una copia de seguridad del Registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

Síntomas

Después de aplicar la actualización de seguridad MS04-011 a un equipo que ejecuta Microsoft Windows 2000 Server y Microsoft Internet Information Services (IIS) 5.0, puede recibir el siguiente mensaje de error después de seleccionar un certificado:
Cliente 403.13 certificado revocado
Puede recibir este mensaje de error si está habilitada la autenticación mutua.

Causa

Este problema se produce debido a una espera de recuperación de certificado revocación (CRL) de la lista. MS04-011 introduce un nuevo comportamiento de Crypto API (CAPI) con respecto a los tiempos de espera de la red. Este cambio se realizó en primer lugar para solucionar el problema de bloqueo de CAPI durante mucho tiempo durante recuperaciones de CRL cuando la dirección URL de destino es inaccesible. La hora predeterminada de Windows 2000 Server y MS04-011 se establece en 15 segundos y Windows 2000 Server y MS04-011 incluyen una característica que vuelve a intentar la descarga en un subproceso de fondo con un tiempo de espera predeterminado de 60 segundos. CRL que residen en una dirección URL de Protocolo ligero de acceso a directorios (LDAP) pueden verse afectadas especialmente debido de su rendimiento inferior.

Solución

Ahora hay disponible un hotfix para el que Microsoft proporciona soporte técnico, pero que sólo se diseñó para corregir el problema descrito en este artículo. Aplíquelo sólo a sistemas que experimenten este problema específico. Este hotfix puede ser sometido a comprobaciones adicionales. Por tanto, si no se ve muy afectado por este problema, se recomienda que espere al próximo Service Pack de Microsoft Windows 2000 que contenga este hotfix.

Para resolver este problema inmediatamente, póngase en contacto con soporte técnico de Microsoft para obtener la revisión. Para obtener una lista completa de los números de teléfono de los servicios de soporte técnico de Microsoft e información acerca de los costos de soporte, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con la actualización en cuestión.

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y las horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria el elemento fecha y hora en el panel de control.
  Date         Time   Version            Size    File name
--------------------------------------------------------------   
24-Mar-2004  02:17  5.0.2195.6876     388,368  Advapi32.dll     
24-Mar-2004  02:17  5.0.2195.6824      42,256  Basesrv.dll      
24-Mar-2004  02:17  5.0.2195.6866      69,904  Browser.dll      
21-Sep-2003  00:45  5.0.2195.6824     236,304  Cmd.exe          
14-Jul-2004  01:25  5.131.2195.6926   533,776  Crypt32.dll      
14-Jul-2004  01:25  5.131.2195.6926    62,736  Cryptnet.dll     
24-Mar-2004  02:17  5.0.2195.6868      76,048  Cryptsvc.dll     
24-Mar-2004  02:17  5.0.2195.6824     134,928  Dnsapi.dll       
24-Mar-2004  02:17  5.0.2195.6876      92,432  Dnsrslvr.dll     
15-Nov-2001  23:27                      5,149  Empty.cat
24-Mar-2004  02:17  5.0.2195.6883      47,888  Eventlog.dll     
19-Jun-2003  20:05  5.0.2195.6660     233,744  Gdi32.dll        
24-Mar-2004  02:17  5.0.2195.6890     143,632  Kdcsvc.dll       
11-Mar-2004  02:37  5.0.2195.6903     210,192  Kerberos.dll     
24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll     
21-Sep-2003  00:32  5.0.2195.6824      71,888  Ksecdd.sys
11-Mar-2004  02:37  5.0.2195.6902     520,976  Lsasrv.dll       
25-Feb-2004  23:59  5.0.2195.6902      33,552  Lsass.exe        
24-Mar-2004  02:17  5.0.2195.6824      54,544  Mpr.dll          
14-Jul-2004  01:25  5.0.2195.6958     335,120  Msgina.dll       
19-Jun-2003  20:05  5.0.2195.6680     117,520  Msv1_0.dll       
24-Mar-2004  02:17  5.0.2195.6897     312,592  Netapi32.dll     
19-Jun-2003  20:05  5.0.2195.6695     371,984  Netlogon.dll     
24-Mar-2004  02:17  5.0.2195.6896   1,028,880  Ntdsa.dll        
24-Mar-2004  02:17  5.0.2195.6824     115,984  Psbase.dll       
24-Mar-2004  02:17  5.0.2195.6892      90,264  Rdpwd.sys
24-Mar-2004  02:17  5.0.2195.6897     388,368  Samsrv.dll       
24-Mar-2004  02:17  5.0.2195.6893     111,376  Scecli.dll       
24-Mar-2004  02:17  5.0.2195.6903     253,200  Scesrv.dll       
04-Jun-2004  23:13  5.0.2195.6935   5,887,488  Sp3res.dll       
05-Apr-2004  17:26  5.4.15.0            6,656  Spmsg.dll        
05-Apr-2004  17:27  5.4.15.0          158,208  Spuninst.exe     
24-Mar-2004  02:17  5.0.2195.6897     403,216  User32.dll       
14-Jul-2004  01:25  5.0.2195.6958     393,488  Userenv.dll      
24-Mar-2004  02:17  5.0.2195.6824      50,960  W32time.dll      
21-Sep-2003  00:32  5.0.2195.6824      57,104  W32tm.exe        
10-Jul-2004  05:36  5.0.2195.6958   1,631,760  Win32k.sys
12-Dec-2003  21:38  5.1.2600.1327     311,296  Winhttp.dll      
11-Mar-2004  02:37  5.0.2195.6898     181,520  Winlogon.exe     
25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll       
24-Mar-2004  02:17  5.131.2195.6824   167,184  Wintrust.dll     
24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll     
10-Jul-2004  05:36  5.0.2195.6958   1,631,760  Win32k.sys
25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll       
19-Sep-2003  22:09                      4,092  Eula.txt
14-Jul-2004  01:56                     19,262  Kb841632.cat
05-Apr-2004  17:27  5.4.15.0           22,016  Spcustom.dll     
05-Apr-2004  17:26  5.4.15.0          616,960  Update.exe       
14-Jul-2004  01:11                     44,156  Update.inf
14-Jul-2004  01:53                      2,882  Update.ver
 
Nota Si servicios deben recuperar una CRL, debe reiniciar el equipo. Por ejemplo, LSASS debe recuperar una CRL para comprobar el inicio de sesión con tarjeta inteligente. Si no reinicia el equipo, estos tipos de servicios no reconocen el cambio del registro.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Más información

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o utilizando otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Después de aplicar este hotfix, puede configurar los valores de tiempo de espera de recuperación de dirección URL siguientes:
  • ChainUrlRetrievalTimeoutMilliseconds
  • ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
Puede configurar estos valores en el siguiente valor de clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Nombre: ChainUrlRetrievalTimeoutMilliseconds
Tipo: REG_DWORD
Valor: Este valor es el tiempo de espera en milisegundos. Si este valor se establece en 0 o no existe, se utiliza un valor predeterminado de 15000 milisegundos.
ChainUrlRetrievalTimeoutMilliseconds es el tiempo de dirección URL espera de predeterminada para recuperaciones de acceso (AIA) información de entidad emisora y recuperaciones de CRL no acumulativos.
Nombre: ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds:
Tipo: REG_DWORD
Valores: Este valor es el tiempo de espera en milisegundos. Si este valor se establece en 0 o no existe, se utiliza un valor predeterminado de milisegundos de 20000.
ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds es la predeterminada de revocación de dirección URL acumulativos tiempo de espera. La primera recuperación de URL de revocación utiliza la mitad de este tiempo de espera.

Referencias

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
841641IIS devuelve un mensaje de error "403.13 revocados de certificados de cliente" después de instalar MS04-011 debido a la configuración proxy de WinInet de
841642Se producen errores con certificados de cliente después de instalar la actualización de seguridad MS04-011 en un equipo de IIS 5.0

Propiedades

Id. de artículo: 841632 - Última revisión: martes, 21 de noviembre de 2006 - Versión: 7.2
La información de este artículo se refiere a:
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbmt kbfix kbprb kbhotfixserver kbqfe KB841632 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 841632
Renuncia a responsabilidad de los contenidos de la KB sobre productos a los que ya no se ofrece asistencia alguna
El presente artículo se escribió para productos para los que Microsoft ya no ofrece soporte técnico. Por tanto, el presente artículo se ofrece "tal cual" y no será actualizado.

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com