SSL/TLS-Kommunikationsprobleme nach der Installation von KB 931125

Gilt für: Windows Server 2012 DatacenterWindows Server 2012 DatacenterWindows Server 2012 Essentials

Problembeschreibung


Nach 11 Dezember 2012 Applikationen und TLS-basierte Authentifizierungen fehlschlagen abhängigen Vorgänge plötzlich möglicherweise zwar offensichtlich Konfiguration wurde nicht geändert. Einige Programme und Operationen fehlschlagen enthalten, jedoch nicht die folgenden:
  • Zugriff auf das WLAN, die zertifikatbasierte Authentifizierung verwendet
  • Verkabeltes Netzwerkzugriffs mit zertifikatbasierte Authentifizierung
  • Clientverbindungen Lync oder Office Communications Server
  • Voicemail, die Exchange Server mit Unified Messaging verwendet
  • Zugriff auf die Website SSL-aktiviert
  • Outlook-Anmeldung
  • Betriebssystem Booten verzögert (langsamer Start)
  • Anmeldeversuche verzögert (Langsame Anmeldung)
Ereignisse in Windows oder anwendungsspezifische Ereignisprotokolle angemeldet sind und die Bereich oder definitiv ermitteln, das in diesem Artikel beschriebene Symptom enthalten, jedoch nicht auf Ereignisse, die in der folgenden Tabelle aufgeführt sind.


EreignisprotokollQuelleEreignis-IDEreignistext
SystemSchannel36885Bei Fragen zur Clientauthentifizierung sendet dieser Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das der Server vertrauenswürdig ist. Momentan vertraut dieser Server sehr vielen Zertifizierungsstellen, die Liste zu lang ist. Diese Liste wurde abgeschnitten. Der Administrator dieses Computers für Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen.
SystemSchannel36887Die folgende schwerwiegende Warnung wurde empfangen: 47
SystemNapAgent39Network Access Protection Agent konnte nicht bestimmen die HRA ein Integritätszertifikat aus anfordern. Eine Änderung oder wenn GP konfiguriert ist, eine Änderung der Konfiguration wird weiter versucht, ein Integritätszertifikat abzurufen. Andernfalls wird keine weiteren versucht. Weitere Informationen erhalten Sie bei des HRA-Administrators.
SystemRAS20225Fehler im Point to Point-Protokollmodul am Port: "vpn2" 509, Benutzername: < Benutzername >. Die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Überprüfen Sie Benutzernamen und Kennwort vom Server verwendete Authentifizierungsmethode kann insbesondere nicht in Ihrem Profil konfigurierte Authentifizierungsmethode überein. Wenden Sie sich an den Administrator des RAS-Servers, und teilen sie diesen Fehler.
SystemRAS20271Benutzer < Benutzername > < IP-Adresse > verbunden, aber keinen Authentifizierungsversuch folgenden Grund: die Verbindung wurde durch eine auf dem RAS/VPN-Server konfigurierte Richtlinie verhindert. Überprüfen Sie Benutzernamen und Kennwort vom Server verwendete Authentifizierungsmethode kann insbesondere nicht in Ihrem Profil konfigurierte Authentifizierungsmethode überein. Wenden Sie sich an den Administrator des RAS-Servers, und teilen sie diesen Fehler.


Ursache


Diese Probleme können auftreten, aktualisiert der Drittanbieter-Stammzertifizierungsstellen mithilfe Certication Dezember 2012 KB 931125 Paket aktualisieren. KB 931125-Paket, das auf 11 Dezember 2012 sollte nur für Client-SKUs. Jedoch war es auch für Server-SKUs für kurze Zeit auf Windows Update und WSUS angeboten.

Dieses Paket installiert 330 Drittanbieter-Stammzertifizierungsstellen Certication. Derzeit ist die maximale Größe der Liste der vertrauenswürdigen Zertifikat, die Schannel-Sicherheitspaket unterstützt 16 Kilobyte (KB). Mit viel Certication Stammzertifizierungsstellen von Drittanbietern werden 16 KB überschreiten treten Limit und TLS/SSL-Kommunikation Probleme auf.

Problemlösung


Wenn Sie WSUS verwenden und installiert Dezember 2012 KB 931125 aktualisieren, sollten Sie die WSUS-Server synchronisieren und dann genehmigen die Abläufe Ihrer Server das Update nicht installieren.

Wenn Sie Dezember 2012 KB 931125 Updatepaket installiert, sollten Sie folgende Lösung verwenden, zusätzliche Drittanbieter-Certication Stammzertifizierungsstellen auf allen Servern zu entfernen, die jetzt viel Certication Stammzertifizierungsstellen von Drittanbietern.

Hinweis Dies entfernt alle Drittanbieter-Stammzertifizierungsstellen Certication. Wenn Ihr Server mit Windows Update verbunden ist, werden automatisch zurück von Drittanbietern Certication Stammzertifizierungsstellen Bedarf ebenfalls wie in KB 931125 hinzugefügt. Ein betroffenen Server isoliert oder Disonnected aus dem Internet müssen Sie manuell fügen Sie erforderlichen Dritter Certication Stammzertifizierungsstellen zurück, wie Sie in der Vergangenheit hätte hinzu. (Oder mithilfe von Gruppenrichtlinien installieren.)

Damit wir dieses Problem beheben, lesen Sie den Abschnitt "hier ist eine einfache Lösung". Wenn Sie dieses Problem manuell beheben möchten, lesen Sie den Abschnitt "Problem manuell beheben".

Hier ist eine einfache Lösung

Um das Problem automatisch zu beheben, klicken Sie auf Download . Klicken Sie im Dialogfeld Dateidownload auf Ausführen oder Öffnendie Schritte im Assistenten einfach korrigieren
  • Vergewissern Sie sich, bevor Sie das System ändern, erstellen Sie eine Sicherungskopie der Registrierung und alle betroffenen Schlüssel.
  • Dieser Assistent ist nur auf Englisch verfügbar. Die automatische Korrektur funktioniert jedoch auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, speichern Sie die einfache Lösung auf einem Flashlaufwerk oder einer CD und führen Sie sie auf dem Computer, auf dem das Problem auftritt, aus.

Lassen Sie mich das Problem manuell beheben

Einfache Lösung 50974

Löschen Sie den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Gehen Sie hierzu folgendermaßen vor:
  1. Registrierungseditor starten
  2. Suchen Sie den folgenden Registrierungsunterschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Klicken Sie mit der rechten Maustaste, und löschen Sie den Schlüssel, der "Certificates" heißt.
Hinweis Vergewissern Sie sich, bevor Sie das System ändern, erstellen Sie eine Sicherungskopie der Registrierung betroffene Schlüssel.

Weitere Informationen


Diese Probleme können auftreten, wenn TLS/SSL-Server viele Einträge in der Liste vertrauenswürdiger Stammzertifizierungsstellen Zertifizierung enthält. Der Server sendet eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client, wenn Folgendes zutrifft:
  • Der Server verwendet die Transport Layer Security (TLS) / SSL-Protokoll zum Verschlüsseln des Netzwerkverkehrs.
  • Clientzertifikate sind für die Authentifizierung während der Handshake-Authentifizierung erforderlich.

Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Behörden von denen Server ein Client-Zertifikat akzeptieren kann. Um vom Server authentifiziert werden, muss der Client ein Zertifikat, das mit einem Stammzertifikat aus der Serverliste in der Kette der Zertifikate vorhanden ist. Ist das Client-Zertifikat immer Endeinheitzertifikat am Ende der Kette. Das Clientzertifikat ist nicht Teil der Kette.

Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifikat, die Schannel-Sicherheitspaket unterstützt 16 KB in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012.

Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen der vertrauenswürdigen Stammzertifizierungsstellen auf dem lokalen Computer suchen. Jede vertrauenswürdiges Zertifikat zur Client-Authentifizierung wird der Liste hinzugefügt. Die Größe der Liste 16 KB überschreitet, meldet Schannel Warnung Ereignis-ID 36855. Dann Schannel kürzt die Liste der vertrauenswürdigen Stammzertifikate und diese abgeschnittene an den Clientcomputer sendet.

Empfängt der Clientcomputer abgeschnittene Liste von vertrauenswürdigen Stammzertifikaten, kann der Clientcomputer kein Zertifikat, die in der Kette der vertrauenswürdige Zertifikataussteller vorhanden ist. Beispielsweise müssen der Clientcomputer ein Zertifikat, das ein vertrauenswürdiges Stammzertifikat entspricht, die in der Liste der vertrauenswürdigen Zertifizierungsstellen Schannel abgeschnitten. Daher kann nicht der Server den Client authentifizieren.