Los clientes no pueden realizar conexiones si requerir certificados de cliente en un sitio Web o si utiliza IAS en Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 933430 - Ver los productos a los que se aplica este artículo
Importante Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de que hacer una copia de seguridad del registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Considere los escenarios siguientes.

Escenario 1

  • Tiene un sitio de Web de Microsoft Internet Information Services (IIS) 6.0 que utiliza el protocolo Secure Sockets Layer (SSL) para cifrar las conexiones de cliente.
  • La opción Requerir certificados de cliente está seleccionada en el cuadro de diálogo Comunicaciones seguras del cuadro de diálogo Propiedades de WebSiteName.
En este escenario, puede experimentar los síntomas siguientes:
  • Los clientes no pueden conectar con el sitio Web correctamente.
  • En el equipo basado en Microsoft Windows Server 2003 que aloja el sitio Web se registra el suceso de advertencia siguiente:

    Tipo de suceso: advertencia
    Origen del suceso: Schannel
    Categoría del suceso: ninguno
    ID. de suceso: 36885
    Date: date
    Time: time
    Usuario:
    Equipo: COMPUTERNAME
    Descripción: Al preguntar para la autenticación del cliente, este servidor envía una lista de entidades emisoras de certificados de confianza al cliente. El cliente utiliza esta lista para elegir un certificado de cliente es de confianza para el servidor. Actualmente, este servidor confía en tantas entidades emisoras de certificados que la lista ha crecido demasiado larga. Esta lista, por lo tanto, se ha truncado. El Administrador de este equipo debe revisar las entidades emisoras de certificados de confianza para la autenticación de cliente y quite los que realmente no es necesario que se confíe.

Nota De forma predeterminada, no se registran sucesos de advertencia de canal seguro (Schannel). Para obtener más información acerca de cómo configurar el registro de eventos de Schannel, consulte la sección "Más información".

Escenario 2

Utilizar un equipo basado en Microsoft Windows Server 2003 que está ejecutando Microsoft el servicio de autenticación de Internet (IAS) para admitir la autenticación para una red inalámbrica. En este escenario, puede experimentar los síntomas siguientes:
  • El servidor IAS no puede autenticar correctamente los clientes. Por lo tanto, los equipos cliente inalámbricos no pueden conectarse correctamente a la red inalámbrica.
  • En el servidor IAS se registra un suceso de advertencia similar al siguiente:

    Tipo de suceso: advertencia
    Origen del suceso: IAS
    Categoría del suceso: ninguno
    ID. de suceso: 2
    Date: date
    Time: time
    Usuario:
    Equipo: COMPUTERNAME
    Descripción: Jsmith@contoso.com de usuario se ha denegado el acceso.
    Totalmente-cualificado-User-Name = CONTOSOS\jsmith NAS-IP-address = 10.20.30.40
    NAS-Identifier = WL1234 1
    Llama-estación-Identifier = 0016.462c.1650
    Identificador de estación llamada = 0012.f05b.a795
    Cliente-Friendly-Name = WL1234 1
    Dirección IP de cliente = 10.20.30.40
    NAS-Port-Type = Wireless - IEEE 802.11
    NAS-Port = 10037 proxy-Policy-Name = usar autenticación de Windows para todos los usuarios
    Proveedor de autenticación = Windows
    Servidor de autenticación = <undetermined>
    Nombre de directiva = directiva de acceso de red inalámbrica
    Tipo de autenticación = EAP
    EAP-Type = tarjeta inteligente u otro certificado
    Código de razón = 266
    Motivo = era el mensaje recibido inesperado o con formato incorrecto.
    Para obtener más información, consulte Ayuda y centro de soporte técnico en http://go.Microsoft.com/fwlink/events.ASP.
    ¿Datos: 0000: 26 03 09 80 &..?

  • En el servidor IAS puede grabarse un suceso similar el suceso de advertencia siguiente:

    Tipo de suceso: advertencia
    Origen del suceso: Schannel
    Categoría del suceso: ninguno
    ID. de suceso: 36885
    Date: date
    Time: time
    Usuario:
    Equipo: COMPUTERNAME
    Descripción: Al preguntar para la autenticación del cliente, este servidor envía una lista de entidades emisoras de certificados de confianza al cliente. El cliente utiliza esta lista para elegir un certificado de cliente es de confianza para el servidor. Actualmente, este servidor confía en tantas entidades emisoras de certificados que la lista ha crecido demasiado larga. Esta lista, por lo tanto, se ha truncado. El Administrador de este equipo debe revisar las entidades emisoras de certificados de confianza para la autenticación de cliente y quite los que realmente no es necesario que se confíe.

Nota De forma predeterminada, no se registran sucesos de advertencia de canal seguro (Schannel). Para obtener más información acerca de cómo configurar el registro de eventos de Schannel, consulte la sección "Más información".

Causa

Este problema puede producirse si el servidor Web o el servidor IAS contiene muchas entradas en la lista de certificación raíz de confianza. El servidor envía una lista de entidades emisoras de certificados de confianza al cliente si se cumplen las condiciones siguientes:
  • El servidor utiliza la seguridad de capa de transporte (TLS) o protocolo SSL para cifrar el tráfico de red.
  • Los certificados de cliente son necesarios para la autenticación durante el proceso de autenticación de protocolo de enlace.
Esta lista de entidades emisoras de certificados de confianza representa las autoridades desde la que el servidor puede aceptar un certificado de cliente. Para ser autenticado por el servidor, el cliente debe tener un certificado que está presente en la cadena de certificados para un certificado raíz desde la lista del servidor.

Actualmente, el tamaño máximo de la lista de autoridades de certificados de confianza que admite el paquete de seguridad Schannel es 12,228 (0 x 3000) bytes.

Schannel crea la lista de entidades emisoras de certificados de confianza mediante la búsqueda del almacén de entidades emisoras de certificados raíz de confianza del equipo local. Cada certificado es de confianza para propósitos de autenticación de cliente se agrega a la lista. Si el tamaño de esta lista supera bytes 12,228, Schannel registra el identificador de suceso de advertencia 36855. A continuación, Schannel trunca la lista de certificados raíz de confianza y envía esta lista truncada al equipo cliente.

Cuando el equipo cliente recibe la lista truncada de certificados raíz de confianza, el equipo cliente no puede tener un certificado que existe en la cadena de un emisor de certificados de confianza. Por ejemplo, el equipo cliente puede tener un certificado que se corresponde con un certificado raíz de confianza que Schannel truncado de la lista de entidades emisoras de certificados de confianza. Por lo tanto, el servidor IAS no puede autenticar al cliente.

Solución

Información de revisiones

Ahora hay un hotfix compatible de Microsoft. Sin embargo, se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico. Este hotfix puede ser sometido a comprobaciones adicionales. Por tanto, si no se ve muy afectado por este problema, le recomendamos que espere al próximo Service Pack de Windows Server 2003, que contendrá este hotfix.

Para resolver este problema inmediatamente, póngase en contacto con servicios de soporte técnico de Microsoft con el fin de obtener la revisión. Para obtener una lista completa de los números de teléfono de los servicios de soporte técnico de Microsoft e información acerca de los costos de soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no reúnan las condiciones necesarias para la actualización en cuestión.

Requisitos previos

Para aplicar este hotfix, debe tener Service Pack 1 (SP1) de Windows Server 2003 o Windows Server 2003 Service Pack 2 (SP2) instalado en el equipo.Para obtener más información acerca de cómo obtener el service pack más reciente para Windows Server 2003, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
889100Cómo obtener la versión más reciente del Service Pack para Windows Server 2003

Requisito de reinicio

Debe reiniciar el equipo después de aplicar este hotfix.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información del archivo

La versión en inglés de este hotfix tiene los atributos de archivo (o atributos de último archivo) mostrados en la siguiente tabla. Las fechas y horas de estos archivos se muestran en hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en el elemento fecha y hora en el panel de control.
Windows Server 2003, versiones de 86 con Service Pack 1 x
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataforma
Schannel.dll5.2.3790.2971144,89610 De julio de 200717: 27x 86
Windows Server 2003, versiones de 86 con Service Pack 2 x
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataforma
Schannel.dll5.2.3790.4115147,45610 De julio de 200717: 51x 86
Windows Server 2003,-versiones basadas en x 64 con Service Pack 1
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaTipo de servicio
Schannel.dll5.2.3790.2971254,46410 De julio de 200703: 15x 64No aplicable
Wschannel.dll5.2.3790.2971144,89610 De julio de 200703: 15x 86¡ VAYA
Windows Server 2003,-versiones basadas en x 64 con Service Pack 2
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaTipo de servicio
Schannel.dll5.2.3790.2971254,46410 De julio de 200703: 15x 64No aplicable
Wschannel.dll5.2.3790.2971144,89610 De julio de 200703: 15x 86¡ VAYA
Windows Server 2003, versiones basadas en Itanium con SP1
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaTipo de servicio
Schannel.dll5.2.3790.2971466,43210 De julio de 200716: 03IA-64No aplicable
Wschannel.dll5.2.3790.2971144,89610 De julio de 200716: 03x 86¡ VAYA
Windows Server 2003, versiones basadas en Itanium con Service Pack 2
Contraer esta tablaAmpliar esta tabla
Nombre de archivoArchivo VersiónTamaño del archivoFechaTiempoPlataformaTipo de servicio
Schannel.dll5.2.3790.4115466,43210 De julio de 200703: 24IA-64No aplicable
Wschannel.dll5.2.3790.4115147,45610 De julio de 200703: 24x 86¡ VAYA

Solución

Para evitar este problema, utilice alguno de los métodos siguientes, según corresponda a su situación.

Método 1: Quitar algunos certificados raíz de confianza

Si algunos de los certificados raíz de confianza no se utilizan en su entorno, quitarlos desde el servidor Web o desde el servidor IAS. Para ello, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.
  2. En el menú archivo, haga clic en Agregar o quitar complemento y, a continuación, haga clic en Agregar.
  3. En el cuadro de diálogo Add Standalone Snap-in, haga clic en certificados y, a continuación, haga clic en Agregar.
  4. Haga clic en cuenta de equipo, haga clic en siguiente y, a continuación, haga clic en Finalizar.
  5. Haga clic en Cerrar y, a continuación, haga clic en Aceptar.
  6. En la Raíz de consola en el complemento Microsoft Management Console (MMC), expanda certificados (equipo local), expanda Entidades emisoras de certificados raíz de confianza y, a continuación, haga clic en certificados.
  7. Quitar certificados raíz de confianza que no necesita tener. Para ello, haga clic con el botón secundario del mouse en un certificado, haga clic en Eliminar y, a continuación, haga clic en para confirmar la eliminación del certificado.
Nota Hay algunos certificados de raíz requeridos por Windows. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
293781Certificados raíz de confianza que son requeridos por Windows Server 2003, Windows XP y Windows 2000

Método 2: Configurar la directiva de grupo para omitir la lista de entidades emisoras de certificados en el equipo local de confianza

Si el servidor IAS o el servidor Web es un miembro de un dominio, puede crear una directiva para hacer que el servidor omitir el la lista de las autoridades emisoras de certificados de confianza en el equipo local. Cuando aplica esta directiva, clientes y servidores afectados sólo confían certificados que están en el almacén de entidades emisoras raíz de empresa. Por lo tanto, no es necesario modificar los equipos individuales.

Nota Este método funciona sólo si todos los equipos cliente son del mismo dominio de servicio de directorio de Active Directory o el bosque de Active Directory. Directiva de grupo no se aplica a equipos que no son del mismo bosque de Active Directory.

Para crear esta directiva, siga estos pasos.

Paso 1: Crear un objeto de directiva de grupo

  1. Inicie sesión en un controlador de dominio e inicie la herramienta y equipos de usuarios de Active Directory. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba dsa.msc y, a continuación, haga clic en Aceptar.
  2. Haga clic con el botón secundario del mouse en el contenedor en el que desea configurar el objeto de directiva de grupo y, a continuación, haga clic en Propiedades. Por ejemplo, haga clic con el botón secundario del mouse en el contenedor de dominio o haga clic con el botón secundario del mouse en un contenedor de unidad organizativa.
  3. Haga clic en la ficha Directiva de grupo y, a continuación, haga clic en nuevo.
  4. Escriba un nombre descriptivo para la directiva y, a continuación, presione ENTRAR.
  5. Haga clic en Editar para iniciar el Editor de objetos de directiva de grupo.
  6. Expanda Configuración del equipo, expanda Configuración de Windows, expanda Configuración de seguridad y, a continuación, haga clic en Directivas de claves públicas.
  7. Haga clic con el botón secundario del mouse en Entidades emisoras de certificados raíz de confianza y, a continuación, haga clic en Propiedades.
  8. Haga clic en Entidades emisoras raíz de empresa y, a continuación, haga clic en Aceptar.
  9. Salir del Editor de objetos de directiva de grupo.
  10. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de ObjectName.

Paso 2: Agregar certificados raíz al almacén de certificados "Entidades emisoras de certificados raíz de confianza"

  1. Exportar todos los certificados raíz necesaria desde el almacén del equipo local del servidor apropiado. Esto incluye certificados raíz para interno entidades emisoras de certificados (CA) y certificados raíz para las entidades emisoras de certificados pública que su organización necesita.
  2. Inicie sesión en un controlador de dominio e inicie la herramienta y equipos de usuarios de Active Directory.
  3. Haga clic con el botón secundario del mouse en el contenedor que contiene el objeto de directiva de grupo que creó en el "paso 1: objeto de directiva de crear un grupo" de sección y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha Directiva de grupo, haga clic en el objeto de directiva de grupo y, a continuación, haga clic en Modificar.
  5. Expanda Configuración del equipo, expanda Configuración de Windows, expanda Configuración de seguridad y, a continuación, haga clic en Directivas de claves públicas.
  6. Haga clic con el botón secundario del mouse en Entidades emisoras de certificados raíz de confianza ' y, a continuación, haga clic en Importar.
  7. Siga los pasos descritos en el Asistente para importación de certificados para importar el certificado raíz o los certificados que exportó en el paso 2a.
  8. Salir del Editor de objetos de directiva de grupo.
  9. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de ObjectName.
Nota Hay algunos certificados de raíz requeridos por Windows. Debe agregar estos certificados a la directiva que ha creado. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
293781Certificados raíz de confianza que son requeridos por Windows Server 2003, Windows XP y Windows 2000

Método 3: Configurar Schannel dejan de poder enviar la lista de entidades emisoras de certificados raíz de confianza durante el proceso de negociación TLS/SSL

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

En el servidor que ejecuta IIS o en el servidor IAS en el que experimenta este problema, establezca la entrada del registro siguiente en false:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


Nombre de valor: SendTrustedIssuerList
Tipo de valor: REG_DWORD
Información del valor: 0 (false)
De forma predeterminada, esta entrada no aparece en el registro. De forma predeterminada, este valor es 1 (verdadero). Esta entrada del Registro controla el indicador que controla si el servidor envía una lista de entidades emisoras de certificados de confianza al cliente. Cuando esta entrada del registro se establece en False, el servidor no envía al cliente una lista de entidades emisoras de certificados de confianza. Este comportamiento puede afectar a cómo el cliente responde a una solicitud de certificado. Por ejemplo, si Internet Explorer recibe una solicitud de autenticación de cliente, Internet Explorer muestra los certificados de cliente que aparecen en la cadena de una de las entidades emisoras de certificados que están en la lista desde el servidor. Sin embargo, si el servidor no envía una lista de entidades emisoras de certificados de confianza, Internet Explorer muestra todos los certificados de cliente que están instalados en el equipo cliente.

Para establecer esta entrada del registro, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  2. Busque y haga clic en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. En el menú Edición, seleccione nuevo y, a continuación, haga clic en Valor DWORD.
  4. Escriba SendTrustedIssuerList y, a continuación, presione ENTRAR para asignar nombre a la entrada del registro.
  5. Haga clic con el botón secundario del mouse en SendTrustedIssuerList y, a continuación, haga clic en Modificar.
  6. En el cuadro información del valor, escriba 0 si aún no se muestra ese valor y, a continuación, haga clic en Aceptar.
  7. Salir del Editor del registro.
Para obtener más información acerca de la entrada del registro SCHANNEL, visite el siguiente sitio Web de Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Más información

Windows Server 2003 está diseñado para examinar automáticamente la lista de entidades emisoras de certificados de confianza en el sitio Web de Microsoft Windows Update al actualizar certificados raíz. A continuación, Windows instala el certificado raíz adecuado después de que el certificado validado por programa del usuario.

Nota En Windows Server 2003, la lista de entidades emisoras de certificados no puede superar 12,228 (0 x 3000) bytes. Cuando actualizar certificados raíz, puede aumentar significativamente la lista de entidades emisoras de certificados de confianza. Por lo tanto, la lista puede llegar a ser demasiado larga. En este caso, Windows trunca la lista. Este comportamiento podría causar problemas con la autorización. En este escenario, puede experimentar el problema que se describe en la sección "Síntomas".

Cómo configurar el registro de eventos de Schannel

Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.

Para configurar Schannel para registrar sucesos de advertencia en el registro del sistema, establezca la entrada de registro siguiente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


Nombre de valor: EventLogging
Tipo de valor: REG_DWORD
Información del valor: 0 x 3
Nota Un valor de 0 x 3 configura Schannel para registrar sucesos de advertencia y sucesos de error.

Para obtener más información acerca de cómo configurar el registro de eventos de Schannel, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260729Cómo habilitar el registro en IIS de sucesos Schannel

Referencias

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
931125Miembros del programa de certificados raíz de Microsoft (enero de 2007)
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
814394Requisitos de certificados cuando se utiliza EAP-TLS o PEAP con EAP-TLS

Propiedades

Id. de artículo: 933430 - Última revisión: jueves, 11 de octubre de 2007 - Versión: 3.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbmt kbautohotfix kbeventlog kbtshoot kberrmsg kbprb KB933430 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 933430

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com