Клиенты не могут подключаться Если требовать сертификаты клиентов на веб-узле или в Windows Server 2003 с помощью IAS

Переводы статьи Переводы статьи
Код статьи: 933430 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важные Эта статья содержит сведения об изменении реестра. Убедитесь, что резервную копию реестра перед внесением изменений. Убедитесь, что знаете, как восстановить реестр в случае возникновения проблем. Для получения дополнительных сведений о том, как резервное копирование, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Проблема

Рассмотрим следующие сценарии.

В сценарии 1

  • У вас есть Интернет информации Microsoft Services (IIS) 6.0 веб-узла, который использует протокол Secure Sockets Layer (SSL) для шифрования клиентских подключений.
  • В Требовать сертификаты клиентов установлен параметр Безопасные подключения диалоговое окно Атрибут WebSiteName замените Свойства диалоговое окно.
В этом случае могут возникнуть следующие проблемы:
  • Клиентам не удается подключиться к веб-узла успешно.
  • На компьютере под управлением Microsoft Windows Server 2003, на котором размещен веб-узел регистрируется следующее событие предупреждения:

    Тип события: предупреждение
    Источник события: Schannel
    Категория события: нет
    КОД события: 36885
    Дата: Дата
    Время: Время
    Пользователь:
    Компьютер: ИМЯ_КОМПЬЮТЕРА
    Описание: Вместе с запросом о проверке подлинности клиента, этот сервер отправляет список доверенных центров сертификации клиента. Клиент использует этот список для выбора сертификата клиента, которому доверяет сервер. В настоящее время этот сервер доверяет так много центров сертификации, что возросла слишком длинный список. Этот список таким образом был усечен. Администратора этого компьютера следует просмотрите центры сертификации, доверенные для проверки подлинности клиента и удалите те, которые не нужно действительно заслуживает доверия.

Примечание По умолчанию события безопасного канала (Schannel) предупреждение не регистрируются. Для получения дополнительных сведений о том, как настроить ведение журнала для события Schannel в разделе «Дополнительная информация».

Сценарий 2

Использовать компьютер под управлением Microsoft Windows Server 2003, на котором выполняется Microsoft Internet служба проверки подлинности (IAS) для поддержки проверки подлинности для беспроводной сети. В этом случае могут возникнуть следующие проблемы:
  • Сервер IAS не прошедшие проверку подлинности клиентов. Таким образом беспроводных клиентских компьютеров не может подключиться к беспроводной сети.
  • Предупреждающее событие, аналогичное следующему регистрируется на сервере IAS.

    Тип события: предупреждение
    Источник события: IAS
    Категория события: нет
    КОД события: 2
    Дата: Дата
    Время: Время
    Пользователь:
    Компьютер: ИМЯ_КОМПЬЮТЕРА
    Описание: Jsmith@contoso.com пользователю отказано в доступе.
    Полностью полное User-Name = CONTOSOS\jsmith NAS-IP-адрес = 10.20.30.40
    Идентификатор NAS = WL1234-1
    Вызывается станция идентификатор = 0016.462c.1650
    Телефонная станция идентификатор = 0012.f05b.a795
    Клиент понятное имя = WL1234-1
    IP-адрес клиента = 10.20.30.40
    NAS-Port-Type = Wireless - IEEE 802.11
    NAS-Port = 10037 Имя политики прокси = использовать проверку подлинности Windows для всех пользователей
    Поставщик проверки подлинности = Windows
    Сервер проверки подлинности =<undetermined> </undetermined>
    Имя политики = политики доступа К беспроводной сети
    Тип проверки подлинности = EAP
    Тип EAP = смарт-карта или иной сертификат
    Код причины = 266
    Причина = полученное сообщение было неожиданным или оно имеет неправильный формат.
    Для получения дополнительных сведений см. в http://go.microsoft.com/fwlink/events.asp центре справки и поддержки.
    Данные: 0000: 26 03 09 80 &..?

  • На сервере IAS может регистрироваться событие, похожее на следующее предупреждение:

    Тип события: предупреждение
    Источник события: Schannel
    Категория события: нет
    КОД события: 36885
    Дата: Дата
    Время: Время
    Пользователь:
    Компьютер: ИМЯ_КОМПЬЮТЕРА
    Описание: Вместе с запросом о проверке подлинности клиента, этот сервер отправляет список доверенных центров сертификации клиента. Клиент использует этот список для выбора сертификата клиента, которому доверяет сервер. В настоящее время этот сервер доверяет так много центров сертификации, что возросла слишком длинный список. Этот список таким образом был усечен. Администратора этого компьютера следует просмотрите центры сертификации, доверенные для проверки подлинности клиента и удалите те, которые не нужно действительно заслуживает доверия.

Примечание По умолчанию события безопасного канала (Schannel) предупреждение не регистрируются. Для получения дополнительных сведений о том, как настроить ведение журнала для события Schannel в разделе «Дополнительная информация».

Причина

Это может происходить, если веб-сервер или сервер IAS содержит много записей в список доверенных корневых сертификации. Сервер отправляет список доверенных центров сертификации на клиенте, при соблюдении следующих условий:
  • Сервер использует Transport Layer Security (TLS) / протокол SSL для шифрования трафика.
  • Требуются клиентские сертификаты для проверки подлинности в процессе подтверждения проверки подлинности.
Этот список доверенных центров сертификации представляет центров, из которых будут приниматься сертификат клиента. Чтобы пройти проверку подлинности на сервере, клиент должен иметь сертификат, который присутствует в цепочку сертификатов до корневого сертификата из списка серверов.

В настоящее время максимальный размер списка центров доверенный сертификат, который поддерживает пакет безопасности безопасного канала Schannel является 12,228 (0x3000) байт.

Schannel создает список доверенных центров сертификации, выполняя поиск в хранилище доверенных корневых центров сертификации на локальном компьютере. Каждый сертификат, который является доверенным для проверки подлинности клиента добавляется в список. Если размер списка превышает 12,228 байт, Schannel заносит в журнал событие с кодом предупреждения 36855. Затем Schannel обрезает список доверенных корневых сертификатов и отправляет этот усечению список на клиентский компьютер.

Когда клиентский компьютер получает усечению список доверенных корневых сертификатов, клиентский компьютер не может иметь сертификат в цепочке поставщик доверенного сертификата. Например клиентский компьютер может иметь сертификат, соответствующий доверенный корневой сертификат, который Schannel усечен из списка доверенных центров сертификации. Таким образом IAS-сервер не может проверить подлинность клиента.

Исправление увеличивает буфера безопасности Schannel 16 КБ. При превышении этого предела будет по-прежнему возникают проблемы, описанные в разделе «Проблема» данной статьи. Это изменение также были включены в Windows Server 2008 и Windows Server 2008 R2. Описанных ниже будет применяться также для Windows Server 2008 и Windows Server 2008 R2.


Решение

Сведения об исправлении

Исправление выпущенного корпорацией Майкрософт. Тем не менее он предназначен для устранения проблемы, описанной в этой статье. Предлагаемое исправление должно применяться исключительно в системах, в которых обнаружена эта специфическая неполадка. Это исправление находится на стадии дополнительного тестирования. Таким образом Если вы не представляет особой эта проблема, рекомендуется отложить ее решение до выхода ближайшего пакета обновления для Windows Server 2003, содержащего это исправление.

Чтобы решить проблему немедленно, обратитесь в службу технической поддержки Майкрософт для получения исправления. Полный список телефонов служб поддержки клиентов корпорации Майкрософт и сведения о стоимости поддержки посетите следующий веб-узел корпорации Майкрософт:
http://support.Microsoft.com/contactus/?ws=Support
Примечание В особых случаях, предусмотренная для звонков в службу поддержки может быть отменена, если специалистом службы поддержки Майкрософт определяет, что решения проблемы является специально выпущенное. Затраты на обычные службы поддержки будут применяться дополнительные вопросы и проблемы, которые не соответствуют требованиям особым обновлением.

Необходимые условия

Данное исправление необходимо иметь Windows Server 2003 с пакетом обновления 1 (SP1) или Windows Server 2003 пакетом обновления 2 (SP2) на компьютере.Для получения дополнительных сведений о том, как получить последний пакет обновления для Windows Server 2003 щелкните следующий номер статьи базы знаний Майкрософт:
889100Как получить последний пакет обновления для Windows Server 2003

Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки этого исправления.

Сведения о замене исправлений

Это исправление не заменяет других исправлений.

Сведения О файлах

Английская версия исправления содержит атрибуты файла (или более поздними), приведенные в следующей таблице. Дата и время для файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать Часовой пояс на вкладке Дата и время элемент панели управления.
Windows Server 2003, 32 разрядных выпусков с пакетом обновления 1
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Schannel.dll5.2.3790.2971144,89610 Июля 2007 г.17: 27X86
Windows Server 2003, 32 разрядных выпусков с пакетом обновления 2
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Schannel.dll5.2.3790.4115147,45610 Июля 2007 г.17: 51X86
Windows Server 2003 x 64-разрядной версии с пакетом обновления 1
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформаВетвь службы
Schannel.dll5.2.3790.2971254,46410 Июля 2007 г.03: 15X64Не применимо
Wschannel.dll5.2.3790.2971144,89610 Июля 2007 г.03: 15X86WOW
Windows Server 2003 x 64-разрядной версии с пакетом обновления 2
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформаВетвь службы
Schannel.dll5.2.3790.2971254,46410 Июля 2007 г.03: 15X64Не применимо
Wschannel.dll5.2.3790.2971144,89610 Июля 2007 г.03: 15X86WOW
Windows Server 2003 для систем на базе процессоров Itanium с пакетом обновления 1
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформаВетвь службы
Schannel.dll5.2.3790.2971466,43210 Июля 2007 г.03: 16IA-64Не применимо
Wschannel.dll5.2.3790.2971144,89610 Июля 2007 г.03: 16X86WOW
Windows Server 2003 для систем на базе процессоров Itanium с пакетом обновления 2
Свернуть эту таблицуРазвернуть эту таблицу
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформаВетвь службы
Schannel.dll5.2.3790.4115466,43210 Июля 2007 г.03: 24IA-64Не применимо
Wschannel.dll5.2.3790.4115147,45610 Июля 2007 г.03: 24X86WOW

Временное решение

Чтобы обойти эту проблему, используйте один из следующих способов в зависимости от конкретной ситуации.

Метод 1: Удалить некоторые доверенные корневые сертификаты

Если в вашей среде некоторые доверенные корневые сертификаты не используется, удалите их с веб-сервера или сервера IAS. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип MMC, а затем нажмите кнопку ОК.
  2. На Файл меню, нажмите кнопку Добавление и удаление оснастки, а затем нажмите кнопку Добавить.
  3. В Добавить изолированную оснастку диалоговое окно, нажмите кнопку Сертификаты, а затем нажмите кнопку Добавить.
  4. Нажмите кнопку Учетная запись компьютера, нажмите кнопку Далее, а затем нажмите кнопку Окончание.
  5. Нажмите кнопку Закрыть, а затем нажмите кнопку ОК.
  6. В группе Корень консоли в оснастке консоли управления (MMC) разверните узел Сертификаты (локальный компьютер), разверните узел Доверенные корневые центры сертификации, а затем нажмите кнопку Сертификаты.
  7. Удаление доверенных корневых сертификатов, не имеют. Для этого щелкните правой кнопкой мыши сертификат, нажмите кнопку Удалить, а затем нажмите кнопку Да для подтверждения удаления сертификата.
Примечание Существуют некоторые корневые сертификаты, необходимые для Windows. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
293781Доверенные корневые сертификаты, которые требуются в Windows Server 2003, Windows XP и Windows 2000

Способ 2: Настройка групповой политики для пропуска списка доверенных центров сертификации на локальном компьютере

Если IAS-сервер или веб-сервер является членом домена, можно создать политику, чтобы заставить сервер игнорирует список доверенных центров сертификации на локальном компьютере. При применении данной политики над серверами и клиентами доверять только сертификатам в хранилище корневых центров сертификации предприятия. Таким образом нет необходимости изменять отдельные компьютеры.

Примечание Этот метод работает только в том случае, если клиентские компьютеры находятся в домене службы каталогов Active Directory или лесу Active Directory. Групповая политика не применяется к компьютерам, которые не находятся в одном лесу Active Directory.

Для этого выполните следующие действия.

Шаг 1: Создание объекта групповой политики

  1. Войдите на контроллер домена, а затем запустите средство «Active Directory — пользователи и компьютеры». Для этого нажмите кнопку Начало, нажмите кнопку Запустить, тип DSA.msc, а затем нажмите кнопку ОК.
  2. Щелкните правой кнопкой мыши контейнер, в котором требуется настроить объект групповой политики и нажмите кнопку Свойства. Например щелкните правой кнопкой мыши контейнер домена, или щелкните правой кнопкой мыши контейнер подразделения.
  3. Нажмите кнопку Групповая политика вкладки, а затем нажмите кнопку Новый.
  4. Введите описательное имя для политики и нажмите клавишу ВВОД.
  5. Нажмите кнопку Редактирование Чтобы запустить редактор объектов групповой политики.
  6. Разверните узел Конфигурация компьютера, разверните узел Параметры Windows, разверните узел Параметры безопасности, а затем нажмите кнопку Политики открытого ключа.
  7. Щелкните правой кнопкой мыши Доверенные корневые центры сертификации, а затем нажмите кнопку Свойства.
  8. Нажмите кнопку Корневые центры сертификации предприятий, а затем нажмите кнопку ОК.
  9. Закройте редактор объектов групповой политики.
  10. Нажмите кнопку ОК Чтобы закрыть Имя объекта Свойства диалоговое окно.

Шаг 2: Добавление корневых сертификатов в хранилище сертификатов «Доверенные корневые центры сертификации»

  1. Экспорт любых необходимых корневых сертификатов в хранилище локального компьютера соответствующего сервера. Это включает в себя корневых сертификатов для внутреннего центра сертификации (ЦС) и корневые сертификаты для общедоступными центрами сертификации, которые требуются для вашей организации.
  2. Войдите на контроллер домена, а затем запустите средство «Active Directory — пользователи и компьютеры».
  3. Щелкните правой кнопкой мыши контейнер, содержащий объект групповой политики, созданный на "шаг 1: создание объекта GPO" в разделе и нажмите кнопку Свойства.
  4. Нажмите кнопку Групповая политика вкладки, выберите объект групповой политики и нажмите кнопку Редактирование.
  5. Разверните узел Конфигурация компьютера, разверните узел Параметры Windows, разверните узел Параметры безопасности, а затем нажмите кнопку Политики открытого ключа.
  6. Щелкните правой кнопкой мыши Доверенные корневые центры сертификации, а затем нажмите кнопку Импорт.
  7. Следуйте указаниям мастера импорта сертификатов для импорта сертификата корневого или сертификаты, которые экспортируются в действии 2a.
  8. Закройте редактор объектов групповой политики.
  9. Нажмите кнопку ОК Чтобы закрыть Имя объекта Свойства диалоговое окно.
Примечание Существуют некоторые корневые сертификаты, необходимые для Windows. Необходимо добавить эти сертификаты созданную политику. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
293781Доверенные корневые сертификаты, которые требуются в Windows Server 2003, Windows XP и Windows 2000

Способ 3: Настройка Schannel больше не отправлять в список доверенных корневых центров сертификации в процессе подтверждения TLS/SSL

Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует эти проблемы. Изменения в реестр на ваш собственный риск.

На сервере, на котором выполняется IIS или на сервере IAS, на котором эта проблема значение false следующую запись реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


Имя значения: SendTrustedIssuerList
Тип значения: REG_DWORD
Значение: 0 (ЛОЖЬ)
По умолчанию эта запись отсутствует в реестре. По умолчанию это значение равно 1 (True). Этот параметр реестра контролирует флаг, который определяет, будет ли сервер отправляет список доверенных центров сертификации на клиентском компьютере. Если этому параметру значение False, сервер не отправляет список доверенных центров сертификации на клиентском компьютере. Такое поведение может повлиять на способ клиент отвечает на запрос на сертификат. Если Internet Explorer получает запрос для проверки подлинности, Internet Explorer отображает только клиентские сертификаты, которые отображаются в цепочку центров сертификации из списка с сервера. Однако если сервер не отправляет список доверенных центров сертификации, Internet Explorer отображает все клиентские сертификаты, установленные на клиентском компьютере.

Чтобы задать этот параметр реестра, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. На Редактирование Выберите пункт Новый, а затем нажмите кнопку Значение типа DWORD.
  4. Тип SendTrustedIssuerList, и нажмите клавишу ВВОД, чтобы указать параметр.
  5. Щелкните правой кнопкой мыши SendTrustedIssuerList, а затем нажмите кнопку Изменить.
  6. В Значение данных поле типа 0 Если открыто не имеет значения и нажмите кнопку ОК.
  7. Закройте редактор реестра.
Для получения дополнительных сведений о записи реестра SCHANNEL посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/WindowsServer/en/Library/3f98fdd9-ed64-49f7-9c20-a2d4581dfbea1033.mspx

Статус

Корпорация Майкрософт подтверждает, что это проблема в продуктах Microsoft, перечисленных в разделе «Относится к».

Дополнительная информация

Windows Server 2003 позволяет автоматически проверять список доверенных центров сертификации на веб-узел Microsoft Windows Update Web, при его обновление корневых сертификатов. После этого Windows устанавливает соответствующий корневой сертификат после проверки этого сертификата пользователя программы.

Примечание В Windows Server 2003 список центров сертификации не может превышать 12,228 (0x3000) байт. Когда обновление корневых сертификатов могут значительно увеличиться список доверенных центров сертификации. Таким образом список может стать слишком длинное. В этом случае Windows обрезает список. Это может вызвать проблемы с авторизации. В этом случае могут возникнуть проблемы, описанные в разделе «Проблема».

Как настроить ведение журнала для события Schannel

Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует эти проблемы. Изменения в реестр на ваш собственный риск.

Настройка безопасного канала Schannel в журнал предупреждений в системном журнале, установите следующий параметр реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


Имя параметра: EventLogging
Тип значения: REG_DWORD
Значение: 0x3
Примечание Значение 0x3 настраивает безопасного канала Schannel в журнал событий ошибок и предупреждений.

Для получения дополнительных сведений о том, как настроить ведение журнала для события Schannel щелкните следующий номер статьи базы знаний Майкрософт:
260729Включение ведения журналов в IIS события Schannel

Ссылки

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
931125Участником программы корневых сертификатов корпорации Майкрософт (январь 2007 г.)
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
814394Сертификат требования при использовании EAP-TLS или PEAP с EAP-TLS

Свойства

Код статьи: 933430 - Последний отзыв: 11 сентября 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Ключевые слова: 
kbautohotfix kbeventlog kbtshoot kberrmsg kbprb kbHotfixServer kbmt KB933430 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:933430

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com