Os clientes não consegue estabelecer ligações, se necessitar de certificados de cliente num Web site ou se utilizar o IAS no Windows Server 2003

Considere os seguintes cenários.

Cenário 1

• Tiver um Web site do Microsoft Internet Information Services (IIS) 6.0 que utiliza o protocolo Secure Sockets Layer (SSL) para encriptar ligações de cliente.
• A opção requerer certificados de cliente está seleccionada na caixa de diálogo Segurança nas comunicações da caixa de diálogo propriedades WebSiteName.

Neste cenário, poderá detectar os seguintes sintomas:

• Os clientes não poderão estabelecer ligação ao Web site com êxito.
• O seguinte aviso de evento é registado no computador baseado no Microsoft Windows Server 2003 que aloja o Web site:

  Tipo de evento: aviso
  Origem do evento: Schannel
  Categoria do evento: nenhum
  ID do evento: 36885
  Date: date
  Time: time
  Utilizador:
  Computador: COMPUTERNAME
  Descrição: Quando solicitar a autenticação de cliente, este servidor envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não necessitam de ser fidedigno.

Nota Por predefinição, não são registados eventos de aviso Secure Channel (Schannel). Para mais informações sobre como configurar o registo para eventos Schannel, consulte a secção "Mais informação".

Cenário 2

Utilizar um computador baseado no Microsoft Windows Server 2003 que esteja a executar o Microsoft Internet Authentication Service (IAS) para suportar a autenticação para uma rede sem fios. Neste cenário, poderá detectar os seguintes sintomas:

• O servidor IAS com êxito não é possível autenticar os clientes. Como tal, computadores clientes sem fios não podem ligar a rede sem fios com êxito.
• No servidor IAS é registado um evento de aviso semelhante à seguinte:

  Tipo de evento: aviso
  Origem do evento: IAS
  Categoria do evento: nenhum
  ID do evento: 2
  Date: date
  Time: time
  Utilizador:
  Computador: COMPUTERNAME
  Descrição: Utilizador jsmith@contoso.com foi negado o acesso.
  Totalmente-qualificado-User-Name = CONTOSOS\jsmith NAS-IP-Address = 10.20.30.40
  NAS-Identifier = WL1234-1
  Chamada-Station-Identifier = 0016.462c.1650
  Identificador de estação de chamada = 0012.f05b.a795
  Nome-amigável-cliente = WL1234-1
  Cliente-IP-Address = 10.20.30.40
  NAS-Port-Type = sem fios - IEEE 802.11
  NAS-Port = nome de política de proxy 10037 = utilizar a autenticação do Windows para todos os utilizadores
  Fornecedor de autenticação = Windows
  Servidor de autenticação = <undetermined>
  Nome da política = política de acesso de rede sem fios
  Tipo de autenticação = EAP
  Tipo de EAP = Smart Card ou outro certificado
  Código de razão = 266
  Motivo = A mensagem recebida era inesperada ou mal formatado.
  Para mais informações, consulte o centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
  Dados: 0000: 26 03 09 80 &...?

• Poderá ser registado um evento semelhante o seguinte evento de aviso no servidor IAS:

  Tipo de evento: aviso
  Origem do evento: Schannel
  Categoria do evento: nenhum
  ID do evento: 36885
  Date: date
  Time: time
  Utilizador:
  Computador: COMPUTERNAME
  Descrição: Quando solicitar a autenticação de cliente, este servidor envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não necessitam de ser fidedigno.

Nota Por predefinição, não são registados eventos de aviso Secure Channel (Schannel). Para mais informações sobre como configurar o registo para eventos Schannel, consulte a secção "Mais informação".

Este problema poderá ocorrer se o servidor Web ou o servidor IAS contém várias entradas na lista de certificação de raiz fidedigna. O servidor envia uma lista de autoridades de certificação fidedignas para o cliente caso se verifiquem as seguintes condições:

• O servidor utiliza o Transport Layer Security (TLS) / protocolo SSL para encriptar o tráfego de rede.
• Os certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.

Esta lista de autoridades de certificação fidedigna representa as autoridades a partir do qual o servidor pode aceitar um certificado de cliente. Serem autenticados pelo servidor, o cliente deve ter um certificado que está presente na cadeia de certificados por um certificado raiz do servidor da lista.

Actualmente, o tamanho máximo da lista de autoridades de certificado fidedigno que suporte o pacote de segurança Schannel é 12,228 (0x3000) bytes.

Schannel cria a lista de autoridades de certificação fidedignas procurando o arquivo de autoridades de certificação de raiz fidedigna no computador local. Todos os certificados é fidedigno para fins de autenticação de cliente é adicionado à lista. Se o tamanho desta lista exceder 12,228 bytes, Schannel regista o ID de evento de aviso 36855. Em seguida, Schannel trunca a lista de certificados de raiz fidedigna e envia esta lista truncada para o computador cliente.

Quando o computador cliente recebe a lista de certificados de raiz fidedigna truncada, o computador cliente pode não ter um certificado que existe na cadeia de um emissor de certificados fidedignos. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado de raiz fidedigna Schannel truncado da lista de autoridades de certificação fidedignas. Por conseguinte, o servidor IAS não é possível autenticar o cliente.

Informações sobre a correcção

Tem já disponível na Microsoft uma correcção suportada. Contudo, destina-se a corrigir o problema descrito neste artigo. Aplique-a apenas em sistemas que tenham este problema específico. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde o próximo service pack do Windows Server 2003 que contenha esta correcção.

Para resolver este problema imediatamente, contacte o suporte técnico da Microsoft para obter a correcção. Para obter uma lista completa dos números de telefone do suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte Web site da Microsoft:Nota Em casos especiais, os custos normalmente inerentes às chamadas de suporte poderão ser anulados se um técnico de suporte da Microsoft determinar que uma actualização específica resolverá o problema. Os custos normais do suporte serão aplicados a perguntas de suporte adicionais e problemas que não se enquadrem na atualização específica em questão.

Pré-requisitos

Para aplicar esta correcção, tem de ter o Windows Server 2003 Service Pack 1 (SP1) ou Windows Server 2003 Service Pack 2 (SP2) instalado no computador.Para obter mais informações sobre como obter o service pack mais recente para o Windows Server 2003, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações de ficheiros

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, são convertida para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário no item data e hora no painel de controlo.

Windows Server 2003, x 86-based versões com SP1

Windows Server 2003, x 86-based versões com SP2

Windows Server 2003, versões baseadas em 64 com SP1 x

Windows Server 2003, versões baseadas em 64 com o SP2 x

Windows Server 2003, versões baseadas em Itanium com SP1

Windows Server 2003, versões baseadas em Itanium com o SP2

Para contornar este problema, utilize um dos seguintes métodos, conforme adequado à situação.

Método 1: Remover alguns certificados de raiz fidedigna

Se alguns dos certificados de raiz fidedigna não são utilizados no seu ambiente, removê-los a partir do servidor Web ou a partir do servidor IAS. Para tal, siga estes passos:

1. Clique em Iniciar, clique em Executar, escreva mmc e, em seguida, clique em OK.
2. No menu ficheiro, clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar.
3. Na caixa de diálogo Adicionar Snap-in autónomo, clique em certificados e, em seguida, clique em Adicionar.
4. Clique em conta de computador, clique em seguinte e, em seguida, clique em Concluir.
5. Clique em Fechar e, em seguida, clique em OK.
6. Em Raiz da consola snap-in Consola de gestão da Microsoft (MMC), expanda certificados (computador local), expanda Autoridades de certificação de raiz fidedigna e, em seguida, clique em certificados.
7. Remova certificados raiz fidedignos que não têm de ter. Para tal, clique com o botão direito do rato num certificado, clique em Eliminar e, em seguida, clique em Sim para confirmar a remoção do certificado.

Nota Existem alguns certificados de raiz que são requeridos pelo Windows. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Método 2: Configurar a política de grupo para ignorar a lista das autoridades de certificação fidedignas no computador local

Se o servidor IAS ou o servidor Web é um membro de um domínio, pode criar uma política para fazer com que o servidor ignorar à lista de autoridades de certificação fidedignas no computador local. Quando aplica esta política, clientes e servidores afectados apenas confiar em certificados que estão a ser o arquivo de autoridades de certificação de raiz empresarial. Por conseguinte, não é necessário modificar os computadores individuais.

Nota Este método funciona apenas se forem todos os computadores cliente do mesmo domínio do serviço de directório do Active Directory ou floresta do Active Directory. Política de grupo não é aplicada a computadores que não sejam da mesma floresta do Active Directory.

Para criar esta política, siga estes passos.

Passo 1: Criar um objecto de política de grupo

1. Inicie sessão num controlador de domínio e, em seguida, inicie a ferramenta <a0>computadores e utilizadores do Active Directory. Para tal, clique em Iniciar, clique em Executar, escreva dsa.msc e, em seguida, clique em OK.
2. Clique com o botão direito do rato no contentor em que pretende configurar o objecto de política de grupo e, em seguida, clique em Propriedades. Por exemplo, clique com o botão direito do rato no contentor de domínio ou clique com o botão direito do rato num contentor de unidade organizacional.
3. Clique no separador <a0>Política de grupo e, em seguida, clique em Novo.
4. Escreva um nome descritivo para a política e, em seguida, prima ENTER.
5. Clique em Editar para iniciar o Editor de objecto de política de grupo.
6. Expanda Configuração do computador, expanda Definições do Windows, expanda As definições de segurança e, em seguida, clique em <a1>Políticas de chaves públicas.
7. Clique com o botão direito do rato Das autoridades de certificação de raiz fidedigna e, em seguida, clique em Propriedades.
8. Clique em Autoridades de certificação de raiz empresarial e, em seguida, clique em ' OK '.
9. Saia do Editor de objecto de política de grupo.
10. Clique em OK para fechar a caixa de diálogo propriedades ObjectName.

Passo 2: Adicionar certificados de raiz ao arquivo de certificados "Autoridades de certificação de raiz fidedigna"

1. Exportar qualquer certificados de raiz necessária do arquivo de computador local do servidor apropriado. Isto inclui a certificados de raiz para autoridades de certificação interna (AC) e certificados de raiz para autoridades de certificação pública que a organização necessita.
2. Inicie sessão num controlador de domínio e, em seguida, inicie a ferramenta <a0>computadores e utilizadores do Active Directory.
3. Clique com o botão direito do rato no contentor que contém o objecto de política de grupo que criou do "passo 1: objecto de política de grupo a criar" secção e, em seguida, clique em Propriedades.
4. Clique no separador <a0>Política de grupo, clique no objecto de política de grupo e, em seguida, clique em Editar.
5. Expanda Configuração do computador, expanda Definições do Windows, expanda As definições de segurança e, em seguida, clique em <a1>Políticas de chaves públicas.
6. Clique com o botão direito do rato Das autoridades de certificação de raiz fidedigna ' e, em seguida, clique em Importar.
7. Siga os passos no Assistente para importar certificados para importar o certificado de raiz ou os certificados que foi exportada no passo 2a.
8. Saia do Editor de objecto de política de grupo.
9. Clique em OK para fechar a caixa de diálogo propriedades ObjectName.

Nota Existem alguns certificados de raiz que são requeridos pelo Windows. Tem de adicionar estes certificados à política que criou. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Método 3: Configurar o Schannel já não enviar a lista de autoridades de certificação de raiz fidedigna durante o processo de handshake TLS/SSL

Aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação o sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua própria conta e risco.

No servidor que está a executar o IIS ou no servidor IAS no qual tiver este problema, defina a entrada de registo seguinte como falso: Por predefinição, esta entrada não está listada no registo. Por predefinição, este valor é 1 (verdadeiro). Esta entrada de registo controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação fidedignas para o cliente. Quando define esta entrada de registo para FALSO, o servidor não envia uma lista de autoridades de certificação fidedignas para o cliente. Este comportamento pode afectar como o cliente responde a um pedido de certificado. Por exemplo, se o Internet Explorer receber um pedido de autenticação de cliente, o Internet Explorer apresenta apenas os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que se encontram na lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação fidedigna, o Internet Explorer apresenta todos os certificados de cliente que estão instalados no computador cliente.

Para definir esta entrada de registo, siga estes passos:

1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
2. Localize e, em seguida, clique na seguinte subchave do registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
3. No menu Editar, aponte para Novo e, em seguida, clique em <a2>Valor DWORD.
4. Escreva SendTrustedIssuerList e, em seguida, prima ENTER para a entrada de registo de nomes.
5. Clique com o botão direito do rato SendTrustedIssuerList e, em seguida, clique em Modificar.
6. Na caixa dados do valor, escreva 0 se esse valor não estiver visível e, em seguida, clique em OK.
7. Sair do Editor de registo.

Para mais informações sobre a entrada de registo SCHANNEL, visite o seguinte Web site da Microsoft:

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Windows Server 2003 destina-se a examinar automaticamente a lista das autoridades de certificação fidedigna no Microsoft Windows Update Web site quando actualizar certificados raiz. Em seguida, o Windows instala o certificado raiz adequado depois que o certificado é validado pelo programa de um utilizador.

Nota No Windows Server 2003, a lista de autoridades de certificação não pode exceder 12,228 (0x3000) bytes. Quando actualizar certificados raiz, a lista das autoridades de certificação fidedigna poderá aumentar significativamente. Por conseguinte, a lista poderá ficar demasiado longa. Neste caso, o Windows trunca da lista. Este comportamento pode causar problemas com a autorização. Neste cenário, poderá detectar o problema descrito na secção "Sintomas".

Como configurar o registo para eventos Schannel

Aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação o sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua própria conta e risco.

Para configurar Schannel para registar eventos de aviso no registo do sistema, defina a seguinte chave de registo:Nota Um valor de 0 x 3 configura o Schannel para registar eventos de aviso e eventos de erro.

Para obter mais informações sobre como configurar o registo para eventos Schannel, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft: