Les clients ne peuvent pas faire de connexions si vous avez besoin de certificats client sur un site Web ou si vous utilisez IAS dans Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 933430 - Voir les produits auxquels s'applique cet article
Important Cet article contient des informations sur la façon de modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
256986Description du Registre Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Symptômes

Examinons les scénarios suivants.

Scénario 1

  • Vous avez un site de Web de Microsoft Internet Information Services (IIS) 6.0 qui utilise le protocole SSL (Secure Sockets Layer) pour crypter les connexions client.
  • L'option Exiger les certificats clients est sélectionnée dans la boîte de dialogue Communications sécurisées de la boîte de dialogue Propriétés de WebSiteName.
Dans ce scénario, vous pouvez rencontrer les problèmes suivants :
  • Les clients ne peuvent pas se connecter au site Web avec succès.
  • L'événement d'avertissement suivant est enregistré sur l'ordinateur Microsoft Windows Server 2003 qui héberge le site Web :

    Le type d'événement : avertissement
    Source de l'événement : Schannel
    Catégorie d'événement : aucun
    ID d'événement : 36885
    Date: date
    Time: time
    Utilisateur :
    Ordinateur : COMPUTERNAME
    Description : Lors de la demande d'authentification du client, ce serveur envoie une liste des autorités de certification de confiance au client. Le client utilise cette liste pour choisir un certificat de client approuvé par le serveur. Actuellement, ce serveur approuve les autorités de certification autant que la liste a connu une trop longue. Cette liste a donc été tronquée. L'administrateur de cet ordinateur doit passer en revue les autorités de certification approuvées pour l'authentification du client et supprimez ceux qui n'ont pas vraiment besoin d'être approuvés.

Remarque Par défaut, les événements d'avertissement Secure Channel (Schannel) n'êtes pas consignés. Pour plus d'informations sur la configuration de l'enregistrement des événements Schannel, consultez la section «Plus d'informations».

Scénario 2

Vous utilisez un ordinateur Microsoft Windows Server 2003 qui exécute Microsoft Internet Authentication Service (IAS) pour prendre en charge l'authentification pour un réseau sans fil. Dans ce scénario, vous pouvez rencontrer les problèmes suivants :
  • Le serveur IAS ne peut pas authentifier correctement les clients. Par conséquent, les ordinateurs clients sans fil ne peut pas se connecter au réseau sans fil avec succès.
  • Un événement d'avertissement semblable au suivant est enregistré sur le serveur IAS :

    Le type d'événement : avertissement
    Événement source: IAS
    Catégorie d'événement : aucun
    ID d'événement: 2
    Date: date
    Time: time
    Utilisateur :
    Ordinateur : COMPUTERNAME
    Description : Jsmith@contoso.com utilisateur s'est vu refuser l'accès.
    Entièrement-qualifiés-User-Name = CONTOSOS\jsmith NAS-IP-Address = 10.20.30.40
    NAS-identifier = WL1234-1
    Identificateur de station appelée = 0016.462c.1650
    Identificateur de station d'appel = 0012.f05b.a795
    Client-Friendly-Name = WL1234-1
    Client-IP-Address = 10.20.30.40
    NAS-port-type = Wireless - IEEE 802.11
    NAS-port = 10037 proxy-nom-stratégie = utiliser l'authentification Windows pour tous les utilisateurs
    Fournisseur d'authentification = Windows
    Serveur d'authentification = <undetermined>
    Nom de stratégie = stratégie d'accès réseau sans fil
    Type d'authentification = EAP
    EAP-type = carte à puce ou autre certificat
    Code motif = 266
    Raison = le message reçu était inattendu ou mal formaté.
    Pour plus d'informations, consultez le centre d'aide et de support à l'adresse http://go.microsoft.com/fwlink/events.asp.
    Données : 0000 : 26 03 09 80 &.. ?

  • Un événement ressemble à l'événement avertissement suivant peut être enregistré sur le serveur IAS :

    Le type d'événement : avertissement
    Source de l'événement : Schannel
    Catégorie d'événement : aucun
    ID d'événement : 36885
    Date: date
    Time: time
    Utilisateur :
    Ordinateur : COMPUTERNAME
    Description : Lors de la demande d'authentification du client, ce serveur envoie une liste des autorités de certification de confiance au client. Le client utilise cette liste pour choisir un certificat de client approuvé par le serveur. Actuellement, ce serveur approuve les autorités de certification autant que la liste a connu une trop longue. Cette liste a donc été tronquée. L'administrateur de cet ordinateur doit passer en revue les autorités de certification approuvées pour l'authentification du client et supprimez ceux qui n'ont pas vraiment besoin d'être approuvés.

Remarque Par défaut, les événements d'avertissement Secure Channel (Schannel) n'êtes pas consignés. Pour plus d'informations sur la configuration de l'enregistrement des événements Schannel, consultez la section «Plus d'informations».

Cause

Ce problème peut se produire si le serveur Web ou le serveur IAS contient de nombreuses entrées dans la liste de certification racine de confiance. Le serveur envoie une liste des autorités de certification de confiance au client si les conditions suivantes sont remplies :
  • Le serveur utilise TLS (Transport Layer Security) / protocole SSL pour crypter le trafic réseau.
  • Les certificats clients sont requis pour l'authentification au cours du processus de négociation d'authentification.
Cette liste d'autorités de certification approuvé représente les autorités à partir de laquelle le serveur peut accepter un certificat client. Pour être authentifié par le serveur, le client doit avoir un certificat qui est présent dans la chaîne de certificats auprès d'un certificat racine de liste du serveur.

Actuellement, la taille maximale de la liste d'autorités de certificat de confiance qui prend en charge le package de sécurité Schannel est 12,228 (0 x 3000) octets.

Schannel crée la liste des autorités de certification de confiance en recherchant dans le magasin d'autorités de certification racines de confiance sur l'ordinateur local. Chaque certificat est approuvé pour des fins d'authentification de client est ajouté à la liste. Si la taille de cette liste dépasse octets 12,228, Schannel enregistre l'ID d'événement avertissement 36855. Ensuite, Schannel tronque la liste des certificats racine de confiance et envoie cette liste tronquée à l'ordinateur client.

Lorsque l'ordinateur client reçoit la liste tronquée des certificats racine de confiance, l'ordinateur client n'est peut-être pas un certificat existe dans la chaîne d'un émetteur de certificat de confiance. Par exemple, l'ordinateur client peut avoir un certificat qui correspond à un certificat de racine de confiance Schannel tronqué dans la liste des autorités de certification de confiance. Par conséquent, le serveur IAS ne peut pas authentifier le client.

Résolution

Informations sur le correctif

Un correctif pris en charge est désormais disponible auprès de Microsoft. Toutefois, il est conçu uniquement pour corriger le problème décrit dans cet article. Il ne doit être appliqué aux systèmes rencontrant ce problème spécifique. Ce correctif peut subir des tests supplémentaires. Par conséquent, si vous n'êtes pas sérieusement concerné par ce problème, nous vous recommandons d'attendre le prochain service pack Windows Server 2003 contenant ce correctif.

Pour résoudre ce problème immédiatement, contactez les services de support client Microsoft pour obtenir le correctif. Pour obtenir une liste complète des numéros de téléphone des services de support technique Microsoft et des informations sur les frais de support technique, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/contactus/?ws=support
Remarque Dans des cas particuliers, frais généralement encourus de support technique par téléphone vous seront facturés si un technicien du support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s'appliqueront aux questions supplémentaires et aux problèmes qui ne relèvent pas de la mise à jour en question.

Conditions préalables

Appliquer ce correctif nécessite Windows Server 2003 Service Pack 1 (SP1) ou Windows Server 2003 Service Pack 2 (SP2) installé sur l'ordinateur.Pour plus d'informations sur la façon d'obtenir le dernier service pack pour Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
889100Comment faire pour obtenir le pack de service plus récent pour Windows Server 2003

La nécessité de redémarrer

Vous devez redémarrer l'ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif possède les attributs de fichier (ou version ultérieure fichier) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en temps universel (UTC). Lorsque vous affichez les informations de fichier, il est converti en heure locale. Pour connaître le décalage entre l'UTC et l'heure locale, utilisez l'onglet fuseau horaire de l'élément de date et heure dans le panneau de configuration.
Windows Server 2003 x 86 exécutant des versions avec SP1
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-forme
Schannel.dll5.2.3790.2971144 89610 Juillet 200717 : 27x 86
Windows Server 2003 x 86 de versions avec SP2
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-forme
Schannel.dll5.2.3790.4115147,45610 Juillet 200717 : 51x 86
Windows Server 2003 x 64 des versions avec SP1
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeDossier
Schannel.dll5.2.3790.2971254,46410 Juillet 200703 : 15x 64Non applicable
Wschannel.dll5.2.3790.2971144 89610 Juillet 200703 : 15x 86WOW
Windows Server 2003, versions 64 avec Service Pack 2 x
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeDossier
Schannel.dll5.2.3790.2971254,46410 Juillet 200703 : 15x 64Non applicable
Wschannel.dll5.2.3790.2971144 89610 Juillet 200703 : 15x 86WOW
Windows Server 2003, versions Itanium avec SP1
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeDossier
Schannel.dll5.2.3790.2971466,43210 Juillet 200703 : 16IA-64Non applicable
Wschannel.dll5.2.3790.2971144 89610 Juillet 200703 : 16x 86WOW
Windows Server 2003, versions Itanium avec Service Pack 2
Réduire ce tableauAgrandir ce tableau
Nom de fichierVersion du fichierTaille du fichierDateHeurePlate-formeDossier
Schannel.dll5.2.3790.4115466,43210 Juillet 200703 : 24IA-64Non applicable
Wschannel.dll5.2.3790.4115147,45610 Juillet 200703 : 24x 86WOW

Contournement

Pour contourner ce problème, appliquez l'une des méthodes suivantes, selon votre situation.

Méthode 1: Suppression de certains certificats racine de confiance

Si certains des certificats racine de confiance ne sont pas utilisés dans votre environnement, les supprimer à partir du serveur Web ou à partir du serveur IAS. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur exécuter, tapez mmc et cliquez sur OK.
  2. Dans le menu fichier, cliquez sur Ajouter/supprimer un composant logiciel enfichable, puis cliquez sur Ajouter.
  3. Dans la boîte de dialogue Ajout d'un composant logiciel enfichable autonome, cliquez sur certificats, puis cliquez sur Ajouter.
  4. Cliquez sur le compte de l'ordinateur, cliquez sur suivant et cliquez sur Terminer.
  5. Cliquez sur Fermer, puis cliquez sur OK.
  6. Sous la Racine de la console dans le composant logiciel enfichable MMC (Microsoft Management Console), développez certificats (ordinateur local), développez Autorités de certification racine de confiance, puis cliquez sur certificats.
  7. Supprimer les certificats racine de confiance que vous n'avez pas d'avoir. Pour ce faire, cliquez avec le bouton droit sur un certificat, cliquez sur Supprimer et puis cliquez sur Oui pour confirmer la suppression du certificat.
Remarque Il existe certains certificats racine qui sont requis par Windows. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
293781Certificats de racine de confiance requis par Windows Server 2003, Windows XP et Windows 2000

Méthode 2: Configurer la stratégie de groupe pour ignorer la liste des autorités de certification de confiance sur l'ordinateur local

Si le serveur IAS ou le serveur Web est membre d'un domaine, vous pouvez créer une stratégie pour que le serveur d'ignorer la la liste des autorités de certification de confiance sur l'ordinateur local. Lorsque vous appliquez cette stratégie, affecté de serveurs et clients approuvent uniquement les certificats dans le magasin d'autorités de certification racine de l'entreprise. Par conséquent, il est inutile de modifier des ordinateurs individuels.

Remarque Cette méthode fonctionne uniquement si tous les ordinateurs clients sont du même domaine de service d'annuaire Active Directory ou de la forêt Active Directory. Stratégie de groupe n'est pas appliquée aux ordinateurs qui ne sont pas dans la même forêt Active Directory.

Pour créer cette stratégie, procédez comme suit.

Étape 1: Création d'un objet stratégie de groupe

  1. Connectez-vous à un contrôleur de domaine et puis démarrez l'outil Active Directory utilisateurs et ordinateurs. Pour ce faire, cliquez sur Démarrer, cliquez sur exécuter, tapez DSA.msc et cliquez sur OK.
  2. Cliquez avec le bouton droit sur le conteneur dans lequel vous souhaitez configurer l'objet stratégie de groupe, puis cliquez sur Propriétés. Par exemple, cliquez avec le bouton droit sur le conteneur de domaine, ou cliquez avec le bouton droit sur un conteneur d'unité d'organisation.
  3. Cliquez sur l'onglet Stratégie de groupe et cliquez sur Nouveau.
  4. Tapez un nom descriptif pour la stratégie, puis appuyez sur ENTRÉE.
  5. Cliquez sur Modifier pour démarrer l'éditeur d'objets de stratégie de groupe.
  6. Développez Configuration ordinateur, développez Paramètres Windows, développez Paramètres de sécurité, puis cliquez sur Stratégies de clé publique.
  7. Cliquez avec le bouton droit sur Autorités de certification racine de confiance, puis cliquez sur Propriétés.
  8. Cliquez sur les Autorités de certification racine de l'entreprise et cliquez sur OK.
  9. Quittez l'éditeur d'objets de stratégie de groupe.
  10. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de ObjectName.

Étape 2: Ajouter des certificats racine au magasin «Autorités de certification racines de confiance» certificat

  1. Exporter n'importe quel certificat racine nécessaires à partir du magasin ordinateur local du serveur approprié. Cela inclut les certificats racines pour les autorités de certification interne et les certificats d'origine pour les autorités de certification publique requis par votre organisation.
  2. Connectez-vous à un contrôleur de domaine et puis démarrez l'outil Active Directory utilisateurs et ordinateurs.
  3. Cliquez avec le bouton droit sur le conteneur qui contient l'objet de stratégie de groupe que vous avez créé à le "étape 1: créer un objet GPO" section, puis cliquez sur Propriétés.
  4. Cliquez sur l'onglet Stratégie de groupe, cliquez sur l'objet stratégie de groupe et cliquez sur Modifier.
  5. Développez Configuration ordinateur, développez Paramètres Windows, développez Paramètres de sécurité, puis cliquez sur Stratégies de clé publique.
  6. Cliquez avec le bouton droit sur Trusted autorités de certification racine», puis cliquez sur Importer.
  7. Suivez les étapes de l'Assistant Importation de certificat pour importer le certificat racine ou les certificats que vous avez exporté à l'étape 2 a.
  8. Quittez l'éditeur d'objets de stratégie de groupe.
  9. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de ObjectName.
Remarque Il existe certains certificats racine qui sont requis par Windows. Vous devez ajouter ces certificats à la stratégie que vous avez créé. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
293781Certificats de racine de confiance requis par Windows Server 2003, Windows XP et Windows 2000

Méthode 3: Configurer Schannel ne plus envoyer la liste des autorités de certification racine de confiance au cours du processus de négociation TLS/SSL

Avertissement Problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou à une autre méthode. Ces problèmes peuvent obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifier le Registre à vos risques et périls.

Sur le serveur qui exécute IIS ou sur le serveur IAS sur lequel vous rencontrez ce problème, définissez l'entrée de Registre suivante sur false :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


Nom de valeur : SendTrustedIssuerList
Type valeur : REG_DWORD
Données de la valeur: 0 (false)
Par défaut, cette entrée n'est pas répertoriée dans le Registre. Par défaut, cette valeur est 1 (vrai). Cette entrée de Registre contrôle l'indicateur contrôle si le serveur envoie une liste des autorités de certification de confiance au client. Lorsque vous définissez cette entrée de Registre sur false, le serveur n'envoie pas d'une liste des autorités de certification de confiance au client. Ce comportement peut affecter la façon dont le client répond à une demande de certificat. Par exemple, si Internet Explorer reçoit une demande pour l'authentification du client, Internet Explorer affiche uniquement les certificats du client qui s'affichent dans la chaîne d'une des autorités de certification qui se trouvent dans la liste à partir du serveur. Toutefois, si le serveur n'envoie pas d'une liste des autorités de certification de confiance, Internet Explorer affiche tous les certificats client sont installés sur l'ordinateur client.

Pour définir cette entrée de Registre, procédez comme suit :
  1. Cliquez sur Démarrer, cliquez sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Dans le menu Edition, pointez sur Nouveau et cliquez sur Valeur DWORD.
  4. Tapez SendTrustedIssuerList, puis appuyez sur ENTRÉE pour nommer l'entrée de Registre.
  5. Cliquez avec le bouton droit sur SendTrustedIssuerList, puis cliquez sur Modifier.
  6. Dans la zone données de la valeur, tapez 0 si cette valeur n'est pas déjà affichée, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre.
Pour plus d'informations sur l'entrée de Registre SCHANNEL, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet2.microsoft.com/WindowsServer/en/library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section "S'applique à".

Plus d'informations

Windows Server 2003 est conçu pour examiner automatiquement la liste des autorités de certification de confiance sur le site Web de Microsoft Windows Update lorsque vous mettez à jour les certificats racines. Ensuite, Windows installe le certificat racine approprié après validation de ce certificat par programme de l'utilisateur.

Remarque Dans Windows Server 2003, la liste des autorités de certification ne peut pas dépasser 12,228 (0 x 3000) octets. Lorsque vous mettez à jour les certificats racine, la liste des autorités de certification de confiance peut augmenter de manière significative. Par conséquent, la liste peut devenir trop longue. Dans ce cas, Windows tronque la liste. Ce comportement peut provoquer des problèmes avec l'autorisation. Dans ce scénario, vous pouvez rencontrer le problème décrit dans la section "Symptômes de cet" article.

La configuration de l'enregistrement des événements Schannel

Avertissement Problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou à une autre méthode. Ces problèmes peuvent obliger à réinstaller le système d'exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Modifier le Registre à vos risques et périls.

Pour configurer Schannel pour enregistrer les événements d'avertissement dans le journal système, définissez l'entrée de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


Nom de valeur : EventLogging
Type valeur : REG_DWORD
Données de la valeur: 0 x 3
Remarque Une valeur de 0 x 3 configure Schannel pour consigner les événements d'avertissement et les événements d'erreur.

Pour plus d'informations sur la configuration de l'enregistrement des événements Schannel, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
260729Comment faire pour activer Schannel enregistrement des événements dans IIS

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
931125Membres du programme de certificat racine Microsoft (janvier 2007)
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
814394Exigences du certificat lorsque vous utilisez EAP-TLS ou PEAP avec EAP-TLS

Propriétés

Numéro d'article: 933430 - Dernière mise à jour: jeudi 11 octobre 2007 - Version: 3.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbmt kbautohotfix kbeventlog kbtshoot kberrmsg kbprb KB933430 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 933430
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com