Os clientes não podem estabelecer conexões se você exigir certificados de cliente em um site ou se você usar o IAS no Windows Server 2003

Considere os cenários a seguir.

Cenário 1

• Você tiver um site do Microsoft Internet Information Services (IIS) 6.0 que usa o protocolo SSL (Secure Sockets Layer) para criptografar conexões de cliente.
• A opção exigir certificados de cliente está selecionada na caixa de diálogo Comunicações de segurança da caixa de diálogo propriedades WebSiteName.

Nesse cenário, poderá detectar os seguintes sintomas:

• Os clientes não poderão se conectar ao site da Web com êxito.
• O seguinte evento de aviso é registrado no computador com Microsoft Windows Server 2003 que hospeda o site:

  Tipo de evento: aviso
  Fonte do evento: Schannel
  Categoria do evento: nenhuma
  IDENTIFICAÇÃO de evento: 36885
  Date: date
  Time: time
  Usuário:
  Computador: COMPUTERNAME
  Descrição: Ao solicitar a autenticação do cliente, este servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente é confiável para o servidor. Atualmente, este servidor confia em tantas autoridades de certificado que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aqueles que não é preciso confiável.

Observação: Por padrão, os eventos de aviso de canal seguro (Schannel) não estão conectados. Para obter mais informações sobre como configurar o log do Schannel eventos, consulte a seção "Mais informação".

Cenário 2

Você usar um computador baseado no Microsoft Windows Server 2003 que esteja executando o Microsoft Internet Authentication Service (IAS) para oferecer suporte à autenticação de uma rede sem fio. Nesse cenário, poderá detectar os seguintes sintomas:

• O servidor IAS com êxito não é possível autenticar os clientes. Portanto, se os computadores cliente sem fio não é possível conectar à rede sem fio com êxito.
• Um evento de aviso semelhante à seguinte é registrado no servidor IAS:

  Tipo de evento: aviso
  Fonte do evento: IAS
  Categoria do evento: nenhuma
  IDENTIFICAÇÃO de evento: 2
  Date: date
  Time: time
  Usuário:
  Computador: COMPUTERNAME
  Descrição: Jsmith@contoso.com usuário teve acesso negado.
  Totalmente-qualificado-User-Name = CONTOSOS\jsmith NAS-IP-address = 10.20.30.40
  NAS-Identifier = WL1234 1
  Chamado-Station-Identifier = 0016.462c.1650
  Identificador de estação de chamada = 0012.f05b.a795
  Cliente-Friendly-Name = WL1234 1
  Endereço de IP do cliente = 10.20.30.40
  NAS-Port-Type = Wireless - IEEE 802.11
  NAS-Port = 10037-nome da diretiva de proxy-= usar autenticação do Windows para todos os usuários
  Provedor de autenticação = Windows
  Servidor de autenticação = <undetermined>
  Nome da diretiva = diretiva de acesso de rede sem fio
  Tipo de autenticação = EAP
  Tipo de EAP = Smartcard ou outro certificado
  Código de motivo = 266
  Motivo = A mensagem recebida foi inesperada ou formatada incorretamente.
  Para obter mais informações, consulte o Centro de ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
  Dados: 0000: 26 03 09 80 &..?

• Um evento semelhante ao seguinte evento de aviso pode ser registrado no servidor IAS:

  Tipo de evento: aviso
  Fonte do evento: Schannel
  Categoria do evento: nenhuma
  IDENTIFICAÇÃO de evento: 36885
  Date: date
  Time: time
  Usuário:
  Computador: COMPUTERNAME
  Descrição: Ao solicitar a autenticação do cliente, este servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente é confiável para o servidor. Atualmente, este servidor confia em tantas autoridades de certificado que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aqueles que não é preciso confiável.

Observação: Por padrão, os eventos de aviso de canal seguro (Schannel) não estão conectados. Para obter mais informações sobre como configurar o log do Schannel eventos, consulte a seção "Mais informação".

Esse problema pode ocorrer se o servidor Web ou o servidor IAS contém muitas entradas na lista de certificação raiz confiável. O servidor envia uma lista de autoridades de certificação confiáveis ao cliente se as seguintes condições forem verdadeiras:

• O servidor usa o TLS (Transport Layer Security) / protocolo SSL para criptografar o tráfego da rede.
• Certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.

Essa lista de autoridades de certificação confiáveis representa as autoridades do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente deve ter um certificado que está presente na cadeia de certificados para um certificado raiz de lista do servidor.

Atualmente, o tamanho máximo da lista de autoridades de certificados confiáveis que ofereça suporte a pacote de segurança Schannel é 12,228 (0x3000) bytes.

Schannel cria a lista de autoridades de certificação confiáveis ao pesquisar o armazenamento de autoridades de certificação raiz confiável no computador local. Cada certificado é confiável para fins de autenticação de cliente é adicionado à lista. Se o tamanho desta lista exceder 12,228 bytes, o Schannel registra a identificação de evento de aviso 36855. Em seguida, o Schannel trunca a lista de certificados raiz confiáveis e envia essa lista truncada para o computador cliente.

Quando o computador cliente recebe truncada lista de certificados raiz confiáveis, o computador cliente não pode ter um certificado que existe na cadeia de um emissor de certificados confiáveis. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado de raiz confiável Schannel truncado da lista de autoridades de certificação confiáveis. Portanto, o servidor IAS não pode autenticar o cliente.

Informações sobre hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, destina-se a corrigir o problema descrito neste artigo. Aplique-o somente nos sistemas que apresentarem esse problema específico. Esta correcção pode ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que aguarde o próximo service pack do Windows Server 2003 que contém esse hotfix.

Para resolver esse problema imediatamente, contate o atendimento ao cliente Microsoft para obter o hotfix. Para obter uma lista completa de números de telefone do serviços de suporte ao cliente da Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft:Observação: Em alguns casos, taxas cobradas pelas ligações para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam à atualização específica em questão.

Pré-requisitos

Para aplicar esse hotfix, você deve ter o Windows Server 2003 Service Pack 1 (SP1) ou Windows Server 2003 Service Pack 2 (SP2) instalado no computador.Para obter mais informações sobre como obter o service pack mais recente para o Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Requisito de reinicialização

Você precisa reiniciar o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações de arquivo

A versão em inglês deste hotfix apresenta os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas em UTC (hora coordenada universal COORDENADO). Quando você exibe as informações do arquivo, ele é convertido em hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.

Windows Server 2003, versões com base em 86 x com SP1

Windows Server 2003, versões com base em 86 x com SP2

Windows Server 2003, versões com base em 64 x com SP1

Windows Server 2003, versões com base em 64 x com SP2

Windows Server 2003, versões com base em Itanium com SP1

Windows Server 2003, versões com base em Itanium com SP2

Para contornar esse problema, use um dos seguintes métodos, conforme apropriado para sua situação.

Método 1: Remover alguns certificados raiz confiáveis

Se alguns dos certificados raiz confiáveis não são usados em seu ambiente, remova-os do servidor Web ou do servidor IAS. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar, clique em Executar, digite mmc e, em seguida, clique em OK.
2. No menu arquivo, clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar.
3. Na caixa de diálogo Adicionar Snap-in autônomo, clique em certificados e, em seguida, clique em Adicionar.
4. Clique em conta de computador, clique em Avançar e, em seguida, clique em Concluir.
5. Clique em Fechar e, em seguida, clique em OK.
6. Em Console Root no snap-in Microsoft Management Console (MMC), expanda certificados (computador local), expanda Autoridades de certificação raiz confiáveis e, em seguida, clique em certificados.
7. Remova certificados raiz confiáveis não é necessário ter. Para fazer isso, clique com o botão direito do mouse em um certificado, clique em Excluir e, em seguida, clique em Sim para confirmar a remoção do certificado.

Observação: Há alguns certificados raiz que são exigidos pelo Windows. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Método 2: Configurar a diretiva de grupo para ignorar a lista de autoridades de certificação confiáveis no computador local

Se o servidor IAS ou o servidor Web for membro de um domínio, você pode criar uma diretiva para fazer com que o servidor ignorar a lista de autoridades de certificação confiável no computador local. Quando você aplica essa diretiva, clientes e servidores afetados confiam somente certificados que estejam no armazenamento de autoridades de certificação raiz corporativas. Portanto, não é necessário modificar os computadores individuais.

Observação: Esse método funciona somente se todos os computadores clientes forem do mesmo domínio do serviço de diretório do Active Directory ou floresta do Active Directory. Diretiva de grupo não será aplicada a computadores que não estão na mesma floresta do Active Directory.

Para criar esta diretiva, execute estas etapas.

Etapa 1: Criar um objeto de diretiva de grupo

1. Faça logon um controlador de domínio e inicie a ferramenta Active Directory Users and Computers. Para fazer isso, clique em Iniciar, clique em Executar, digite dsa.msc e, em seguida, clique em OK.
2. Clique com o botão direito do mouse no recipiente no qual você deseja configurar o objeto de diretiva de grupo e, em seguida, clique em Propriedades. Por exemplo, clique com o botão direito do mouse no recipiente de domínio ou clique com o botão direito do mouse em um recipiente de unidade organizacional.
3. Clique na guia Diretiva de grupo e clique em novo.
4. Digite um nome descritivo para a diretiva e, em seguida, pressione ENTER.
5. Clique em Editar para iniciar ao Editor de objeto de diretiva de grupo.
6. Expanda Configuração do computador, expanda Windows Settings, expanda Configurações de segurança e, em seguida, clique em Diretivas de chave pública.
7. Clique com o botão direito do mouse Autoridades de certificação raiz confiáveis e, em seguida, clique em Propriedades.
8. Clique em Autoridades de certificação raiz corporativas e, em seguida, clique em OK.
9. Saia do Editor de objeto de diretiva de grupo.
10. Clique em OK para fechar a caixa de diálogo Propriedades de ObjectName.

Etapa 2: Adicionar certificados raiz ao armazenamento de certificado "Autoridades de certificação raiz confiáveis"

1. Exporte todos os certificados raiz necessários do armazenamento do computador local do servidor apropriado. Isso inclui certificados raiz para autoridades de certificação interna e certificados raiz para autoridades de certificação pública que sua organização.
2. Faça logon um controlador de domínio e inicie a ferramenta Active Directory Users and Computers.
3. Clique com o botão direito do mouse no recipiente que contém o objeto de diretiva de grupo que você criou na "etapa 1: criar um GPO" seção e, em seguida, clique em Propriedades.
4. Clique na guia Diretiva de grupo, clique no objeto de diretiva de grupo e, em seguida, clique em Editar.
5. Expanda Configuração do computador, expanda Windows Settings, expanda Configurações de segurança e, em seguida, clique em Diretivas de chave pública.
6. Clique com o botão direito do mouse Autoridades de certificação raiz confiáveis ' e, em seguida, clique em Importar.
7. Siga as etapas no Assistente de importação de certificado para importar o certificado raiz ou os certificados que você exportou na etapa 2a.
8. Saia do Editor de objeto de diretiva de grupo.
9. Clique em OK para fechar a caixa de diálogo Propriedades de ObjectName.

Observação: Há alguns certificados raiz que são exigidos pelo Windows. Você deve adicionar esses certificados à diretiva que você criou. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Método 3: Configurar Schannel para não enviar a lista de autoridades de certificação raiz confiável durante o processo de handshake de TLS/SSL

Aviso Podem ocorrer problemas graves se modificar o registro incorretamente usando o Editor do registro ou utilizando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.

No servidor que está executando o IIS ou no servidor IAS em que você enfrentar esse problema, defina a seguinte entrada do registro como false: Por padrão, essa entrada não está listada no registro. Por padrão, esse valor é 1 (verdadeiro). Essa entrada do registro controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação confiáveis ao cliente. Quando você definir essa entrada do registro como False, o servidor não envia uma lista de autoridades de certificação confiáveis ao cliente. Esse comportamento pode afetar como o cliente responde a uma solicitação de certificado. Por exemplo, se o Internet Explorer receber uma solicitação de autenticação de cliente, o Internet Explorer exibe somente os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que estão na lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação confiáveis, o Internet Explorer exibe todos os certificados de cliente que estão instalados no computador cliente.

Para definir essa entrada do registro, execute as seguintes etapas:

1. Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
2. Localize e clique na seguinte subchave do registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
3. No menu Editar, aponte para novo e, em seguida, clique em Valor DWORD.
4. Digite SendTrustedIssuerList e, em seguida, pressione ENTER para nomear a entrada do registro.
5. Clique com o botão direito do mouse SendTrustedIssuerList e, em seguida, clique em Modificar.
6. Na caixa dados do valor, digite 0 se esse valor não for exibido e, em seguida, clique em OK.
7. Feche o Editor do registro.

Para obter mais informações sobre a entrada de registro SCHANNEL, visite o seguinte site da Microsoft:

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Windows Server 2003 foi projetado para examina automaticamente a lista de autoridades de certificação confiável no site Microsoft Windows Update quando você atualizar certificados raiz. Em seguida, o Windows instala o certificado de raiz apropriado depois que o certificado é validado pelo programa do usuário.

Observação: No Windows Server 2003, a lista de autoridades de certificação não pode exceder 12,228 (0x3000) bytes. Quando você atualizar certificados raiz, a lista de autoridades de certificação confiáveis pode aumentar significativamente. Portanto, a lista pode se tornar muito longa. Nesse caso, o Windows trunca a lista. Esse comportamento pode causar problemas com a autorização. Nesse cenário, você pode passar pelo problema descrito na seção "Sintomas".

Como configurar o log de eventos Schannel

Aviso Podem ocorrer problemas graves se modificar o registro incorretamente usando o Editor do registro ou utilizando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.

Para configurar Schannel para registrar eventos de aviso no log do sistema, defina a entrada do registro a seguir:Observação: Um valor de 0 x 3 configura Schannel para registrar eventos de aviso e eventos de erro.

Para obter mais informações sobre como configurar o log do Schannel eventos, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: