Vous recevez le message d'erreur « 403.13 Certificat client révoqué » après avoir installé la mise à jour de sécurité MS04-11

Traductions disponibles Traductions disponibles
Numéro d'article: 841632 - Voir les produits auxquels s'applique cet article
Nous vous recommandons vivement de que tous les utilisateurs mettre à niveau pour Microsoft Internet Information Services (IIS) version 6.0 sur Microsoft Windows Server 2003. IIS 6.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus savoir sujets liés à la sécurité IIS, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
important Cet article contient des informations sur la modification du Registre. Veillez à sauvegarder le Registre avant de le modifier. Vérifiez que vous connaissez comment restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256986 Description du Registre Microsoft Windows
Agrandir tout | Réduire tout

Symptômes

Après avoir appliqué la mise à jour de sécurité MS04-011 sur un ordinateur qui exécute Microsoft Windows 2000 Server et Microsoft Internet Information Services (IIS) 5.0, le message d'erreur suivant peut s'afficher après avoir sélectionné un certificat :
Client 403.13 certificats révoqués
Vous pouvez recevoir ce message d'erreur si l'authentification mutuelle est activée.

Cause

Ce problème se produit en raison d'un délai de récupération certificat révocation liste (CRL). MS04-011 introduit un nouveau comportement API Crypto (CAPI) par rapport aux délais d'attente réseau. Cette modification a été effectuée tout d'abord résoudre le problème de blocage de CAPI pendant une longue période au cours de la liste de révocation de CERTIFICATS extractions lorsque l'URL de destination est inaccessible. L'heure par défaut pour Windows 2000 Server et MS04-011 est définie sur 15 secondes et Windows 2000 Server et MS04-011 incluent une fonctionnalité qui tentatives le téléchargement sur un thread d'arrière-plan avec un délai d'attente par défaut de 60 secondes. CLR qui résident sur une URL LDAP (Lightweight Directory Access Protocol) peut-être être affectés particulièrement en raison de son débit inférieur.

Résolution

Un correctif est désormais disponible auprès de Microsoft, mais il ne vise qu'à corriger le problème décrit dans cet article. Uniquement l'appliquer à des systèmes rencontrant ce problème spécifique. Ce correctif peut subir des tests supplémentaires. Par conséquent, si vous n'êtes pas gravement touché par ce problème, nous vous recommandons d'attendre le prochain service pack Microsoft Windows 2000 qui comprendra ce correctif.

Pour résoudre ce problème immédiatement, contactez services de support technique Microsoft afin d'obtenir le correctif logiciel. Pour une liste complète des numéros de téléphone des services de support technique Microsoft et des informations sur les frais de support technique, reportez-vous au site de Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
note Dans certains cas, les frais aucuns de support peuvent être facturés si un technicien du support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par la mise à jour en question.

La version anglaise de ce correctif dispose les attributs de fichier (ou attributs de fichier version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'élément Date et heure du Panneau de configuration.
  Date         Time   Version            Size    File name
--------------------------------------------------------------   
24-Mar-2004  02:17  5.0.2195.6876     388,368  Advapi32.dll     
24-Mar-2004  02:17  5.0.2195.6824      42,256  Basesrv.dll      
24-Mar-2004  02:17  5.0.2195.6866      69,904  Browser.dll      
21-Sep-2003  00:45  5.0.2195.6824     236,304  Cmd.exe          
14-Jul-2004  01:25  5.131.2195.6926   533,776  Crypt32.dll      
14-Jul-2004  01:25  5.131.2195.6926    62,736  Cryptnet.dll     
24-Mar-2004  02:17  5.0.2195.6868      76,048  Cryptsvc.dll     
24-Mar-2004  02:17  5.0.2195.6824     134,928  Dnsapi.dll       
24-Mar-2004  02:17  5.0.2195.6876      92,432  Dnsrslvr.dll     
15-Nov-2001  23:27                      5,149  Empty.cat
24-Mar-2004  02:17  5.0.2195.6883      47,888  Eventlog.dll     
19-Jun-2003  20:05  5.0.2195.6660     233,744  Gdi32.dll        
24-Mar-2004  02:17  5.0.2195.6890     143,632  Kdcsvc.dll       
11-Mar-2004  02:37  5.0.2195.6903     210,192  Kerberos.dll     
24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll     
21-Sep-2003  00:32  5.0.2195.6824      71,888  Ksecdd.sys
11-Mar-2004  02:37  5.0.2195.6902     520,976  Lsasrv.dll       
25-Feb-2004  23:59  5.0.2195.6902      33,552  Lsass.exe        
24-Mar-2004  02:17  5.0.2195.6824      54,544  Mpr.dll          
14-Jul-2004  01:25  5.0.2195.6958     335,120  Msgina.dll       
19-Jun-2003  20:05  5.0.2195.6680     117,520  Msv1_0.dll       
24-Mar-2004  02:17  5.0.2195.6897     312,592  Netapi32.dll     
19-Jun-2003  20:05  5.0.2195.6695     371,984  Netlogon.dll     
24-Mar-2004  02:17  5.0.2195.6896   1,028,880  Ntdsa.dll        
24-Mar-2004  02:17  5.0.2195.6824     115,984  Psbase.dll       
24-Mar-2004  02:17  5.0.2195.6892      90,264  Rdpwd.sys
24-Mar-2004  02:17  5.0.2195.6897     388,368  Samsrv.dll       
24-Mar-2004  02:17  5.0.2195.6893     111,376  Scecli.dll       
24-Mar-2004  02:17  5.0.2195.6903     253,200  Scesrv.dll       
04-Jun-2004  23:13  5.0.2195.6935   5,887,488  Sp3res.dll       
05-Apr-2004  17:26  5.4.15.0            6,656  Spmsg.dll        
05-Apr-2004  17:27  5.4.15.0          158,208  Spuninst.exe     
24-Mar-2004  02:17  5.0.2195.6897     403,216  User32.dll       
14-Jul-2004  01:25  5.0.2195.6958     393,488  Userenv.dll      
24-Mar-2004  02:17  5.0.2195.6824      50,960  W32time.dll      
21-Sep-2003  00:32  5.0.2195.6824      57,104  W32tm.exe        
10-Jul-2004  05:36  5.0.2195.6958   1,631,760  Win32k.sys
12-Dec-2003  21:38  5.1.2600.1327     311,296  Winhttp.dll      
11-Mar-2004  02:37  5.0.2195.6898     181,520  Winlogon.exe     
25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll       
24-Mar-2004  02:17  5.131.2195.6824   167,184  Wintrust.dll     
24-Mar-2004  02:17  5.0.2195.6897     742,160  Kernel32.dll     
10-Jul-2004  05:36  5.0.2195.6958   1,631,760  Win32k.sys
25-Sep-2003  18:08  5.0.2195.6826     243,984  Winsrv.dll       
19-Sep-2003  22:09                      4,092  Eula.txt
14-Jul-2004  01:56                     19,262  Kb841632.cat
05-Apr-2004  17:27  5.4.15.0           22,016  Spcustom.dll     
05-Apr-2004  17:26  5.4.15.0          616,960  Update.exe       
14-Jul-2004  01:11                     44,156  Update.inf
14-Jul-2004  01:53                      2,882  Update.ver
 
note Si les services doivent récupérer une liste de révocation de CERTIFICATS, vous devez redémarrer l'ordinateur. Par exemple, LSASS doit extraire une CRL pour vérifier une ouverture de session par carte à puce. Si vous ne redémarrez pas l'ordinateur, ces types de services ne reconnaissent pas la modification du Registre.

Statut

Microsoft a confirmé que c'est un problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Avertissement Des problèmes graves peuvent se produire si modification incorrecte du Registre à l'aide de l'Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifier le Registre à vos risques et périls.

Après avoir appliqué ce correctif, vous pouvez configurer les valeurs de délai d'expiration de récupération URL suivantes :
  • ChainUrlRetrievalTimeoutMilliseconds
  • ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds
Vous pouvez configurer ces valeurs sous la valeur de clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config
Nom : ChainUrlRetrievalTimeoutMilliseconds
Type : REG_DWORD
Valeur : cette valeur est le délai d'expiration en millisecondes. Si cette valeur est définie sur 0 ou n'existe pas, une valeur par défaut de millisecondes 15000 est utilisée.
ChainUrlRetrievalTimeoutMilliseconds est le délai D'URL par défaut pour autorité informations accès (AIA) extractions et non accumulative extractions de liste de révocation de CERTIFICATS.
Nom : ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds :
Type : REG_DWORD
Valeurs : cette valeur est le délai d'expiration en millisecondes. Si cette valeur est définie sur 0 ou n'existe pas, une valeur par défaut de millisecondes 20000 est utilisée.
ChainRevAccumulativeUrlRetrievalTimeoutMilliseconds est l'URL d'accumulative de révocation par défaut délai d'attente. La récupération D'URL révocation première utilise la moitié de ce délai d'attente.

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
841641 IIS retourne un message d'erreur « 403.13 client certificat Revoked » une fois vous installez MS04-011 raison des paramètres de proxy de WinINet
841642 Erreurs de certificats client survenir après l'installation la mise à jour de sécurité MS04-011 sur un ordinateur de services Internet (IIS) 5.0

Propriétés

Numéro d'article: 841632 - Dernière mise à jour: mardi 21 novembre 2006 - Version: 7.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
Mots-clés : 
kbmt kbfix kbprb kbhotfixserver kbqfe KB841632 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 841632
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com