Clients Verbindungen nicht möglich Clientzertifikate auf einer Website benötigen oder Verwenden von IAS in Windows Server 2003

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
256986 Beschreibung der Microsoft Windows-Registrierung

Problembeschreibung

Betrachten Sie die folgenden Szenarien.

Szenario 1

  • Sie haben eine Microsoft-Internetinformationsdienste (IIS) 6.0 Website, Protokoll Secure Sockets Layer (SSL) zum Verschlüsseln von Clientverbindungen verwendet.
  • Die Clientzertifikate verlangen im Dialogfeld Sichere Kommunikation des Dialogfelds WebSiteName -Eigenschaften aktiviert ist.
In diesem Szenario können die folgenden Symptome auftreten:
  • Clients können die Website keine Verbindung herstellen.
  • Die folgende Warnung ist auf dem Microsoft Windows Server 2003-Computer protokolliert, die die Website hostet:
Hinweis Secure Channel (Schannel) Warnungsereignisse werden standardmäßig nicht protokolliert. Weitere Informationen zum Konfigurieren der Protokollierung für Schannel-Ereignisse finden Sie im Abschnitt "Weitere Informationen".

Szenario 2

Sie verwenden einen Microsoft Windows Server 2003-basierten Computer mit Microsoft Internetauthentifizierungsdienst (IAS) Unterstützung der Authentifizierung für ein drahtloses Netzwerk. In diesem Szenario können die folgenden Symptome auftreten:
  • Der IAS-Server kann nicht die Clients authentifizieren. Daher können keine drahtlosen Clientcomputern Drahtlosnetzwerk herstellen.
  • Eine Warnung, die der folgenden ähnelt ist auf dem IAS-Server protokolliert:
  • Ein Ereignis, das das folgende Warnungsereignis ähnelt kann auf dem IAS-Server protokolliert:
Hinweis Secure Channel (Schannel) Warnungsereignisse werden standardmäßig nicht protokolliert. Weitere Informationen zum Konfigurieren der Protokollierung für Schannel-Ereignisse finden Sie im Abschnitt "Weitere Informationen".

Ursache

Dieses Problem kann auftreten, wenn der Webserver oder IAS-Server viele Einträge in der Liste vertrauenswürdiger Stammzertifizierungsstellen Zertifizierung enthält. Der Server sendet eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client, wenn Folgendes zutrifft:
  • Der Server verwendet die Transport Layer Security (TLS) / SSL-Protokoll zum Verschlüsseln des Netzwerkverkehrs.
  • Clientzertifikate sind für die Authentifizierung während der Handshake-Authentifizierung erforderlich.
Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Behörden von denen Server ein Client-Zertifikat akzeptieren kann. Um vom Server authentifiziert werden, muss der Client ein Zertifikat, das mit einem Stammzertifikat aus der Serverliste in der Kette der Zertifikate vorhanden ist.

Die maximale Größe der Liste der vertrauenswürdigen Zertifikat, das Schannel-Sicherheitspaket unterstützt derzeit 12,228 (0 x 3000) Bytes.

Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen der vertrauenswürdigen Stammzertifizierungsstellen auf dem lokalen Computer suchen. Jede vertrauenswürdiges Zertifikat zur Client-Authentifizierung wird der Liste hinzugefügt. Die Größe der Liste 12,228 Bytes überschreitet, meldet Schannel Warnung Ereignis-ID 36885. Dann Schannel kürzt die Liste der vertrauenswürdigen Stammzertifikate und diese abgeschnittene an den Clientcomputer sendet.

Empfängt der Clientcomputer abgeschnittene Liste von vertrauenswürdigen Stammzertifikaten, kann der Clientcomputer kein Zertifikat, die in der Kette der vertrauenswürdige Zertifikataussteller vorhanden ist. Beispielsweise müssen der Clientcomputer ein Zertifikat, das ein vertrauenswürdiges Stammzertifikat entspricht, die in der Liste der vertrauenswürdigen Zertifizierungsstellen Schannel abgeschnitten. Daher kann nicht der IAS-Server den Client authentifizieren.

Der Hotfix erhöht Schannel Sicherheit Puffer auf 16 KB. Wenn Sie diese Grenze überschreiten, werden Sie noch Fragen haben, die im Abschnitt "Symptome" dieses Artikels beschrieben werden. Diese Änderung wurde auch mit Windows Server 2008 und Windows Server 2008 R2. Beschriebenen Workarounds gelten auch für Windows Server 2008 und Windows Server 2008 R2.


Problemlösung

Hotfix-Informationen

Ein unterstützter Hotfix ist inzwischen von Microsoft erhältlich. Es soll jedoch nur das Problem beheben, das in diesem Artikel beschrieben wird. Wenden Sie es nur auf Systeme an, bei denen dieses spezielle Problem auftritt. Dieser Hotfix wird möglicherweise noch getestet. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir, auf das nächste Windows Server 2003 Servicepack warten, das diesen Hotfix enthält.

Wenn dieses Problem sofort beheben möchten, wenden Sie sich an Microsoft Support Services, um den Hotfix zu erhalten. Eine vollständige Liste der Telefonnummern des Microsoft Product Support Services und Informationen zu den Supportkosten finden Sie auf der folgenden Microsoft-Website:Hinweis In bestimmten Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen abgebrochen werden, wenn ein Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem behebt. Die normalen Supportkosten gilt für zusätzliche Supportfragen und Probleme, die nicht für das betreffende Update qualifizieren.

Voraussetzungen

Um diesen Hotfix anwenden zu können, müssen Sie Windows Server 2003 Service Pack 1 (SP1) oder Windows Server 2003 Service Pack 2 (SP2) auf dem Computer installiert. Weitere Informationen erhalten Sie das neueste Servicepack für Windows Server 2003, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

889100 so erhalten Sie das neueste Servicepack für Windows Server 2003

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix anwenden.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
Windows Server 2003 X86-basierte Versionen mit SP1
DateinameDateiversionDateigrößeDatumZeitPlattform
Schannel.dll5.2.3790.2971144,89610-Jul-200717:27x86
Windows Server 2003 X86-Versionen mit SP2
DateinameDateiversionDateigrößeDatumZeitPlattform
Schannel.dll5.2.3790.4115147.45610-Jul-200717:51x86
Windows Server 2003 X64-basierte Versionen mit SP1
DateinameDateiversionDateigrößeDatumZeitPlattformServicebereich
Schannel.dll5.2.3790.2971254,46410-Jul-200703:15x64PC
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:15x86WOW
Windows Server 2003 X64-Versionen mit SP2
DateinameDateiversionDateigrößeDatumZeitPlattformServicebereich
Schannel.dll5.2.3790.2971254,46410-Jul-200703:15x64PC
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:15x86WOW
Windows Server 2003 Itanium-Versionen mit SP1
DateinameDateiversionDateigrößeDatumZeitPlattformServicebereich
Schannel.dll5.2.3790.2971466,43210-Jul-200703:16IA-64PC
Wschannel.dll5.2.3790.2971144,89610-Jul-200703:16x86WOW
Windows Server 2003 Itanium-Versionen mit SP2
DateinameDateiversionDateigrößeDatumZeitPlattformServicebereich
Schannel.dll5.2.3790.4115466,43210-Jul-200703:24IA-64PC
Wschannel.dll5.2.3790.4115147.45610-Jul-200703:24x86WOW

PROBLEMUMGEHUNG

Um dieses Problem zu umgehen, verwenden Sie eine der folgenden Methoden entsprechend Ihrer Situation.

Methode 1: Entfernen Sie einige vertrauenswürdige Stammzertifikate

Entfernen sie einige vertrauenswürdige Stammzertifikate in Ihrer Umgebung nicht verwendet werden, vom Server oder vom IAS-Server. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Mmcein, und klicken Sie auf OK.
  2. Menü Datei klicken Sie auf Snap-In hinzufügen/entfernen, und klicken Sie auf Hinzufügen.
  3. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikateund klicken Sie dann auf Hinzufügen.
  4. Klicken Sie auf Computerkonto, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
  5. Klicken Sie auf Schließen, und klicken Sie dann auf OK.
  6. Erweitern Sie Zertifikate (lokaler Computer)unter Konsolenstamm Snap-in der Microsoft Management Console (MMC) erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie auf Zertifikate.
  7. Entfernen Sie vertrauenswürdige Stammzertifikate, die Sie nicht haben. Hierzu mit der rechten Maustaste ein Zertifikat, klicken Sie auf Löschenund klicken Sie auf Ja, um das Entfernen des Zertifikats bestätigen.
Hinweis Es gibt einige Stammzertifikate, die von Windows erforderlich sind. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

293781 vertrauenswürdige Stammzertifikate, die von Windows Server 2003, Windows XP und Windows 2000 benötigt werden

Methode 2: Konfigurieren von Gruppenrichtlinien zur Liste der vertrauenswürdigen Zertifizierungsstellen auf dem lokalen Computer ignorieren

Wenn der IAS-Server oder Web-Server Mitglied einer Domäne ist, können Sie eine Richtlinie der Server ignoriert erstellen die Liste der vertrauenswürdigen Zertifizierungsstellen auf dem lokalen Computer. Beim Anwenden dieser Richtlinie vertrauen betroffenen Servern und Clients nur Zertifikaten, die im Unternehmen Stammzertifizierungsstellen. Daher müssen Sie keinen Computer ändern.

Hinweis Diese Methode funktioniert nur, wenn alle Client-Computer in derselben Active Directory-Verzeichnisdienstdomäne oder Active Directory-Gesamtstruktur. Die Gruppenrichtlinie gilt nicht für Computer, die nicht in derselben Active Directory-Gesamtstruktur.


Gehen Sie folgendermaßen vor, um diese Richtlinie zu erstellen.

Schritt 1: Erstellen eines Gruppenrichtlinienobjekts

  1. Melden Sie sich bei einem Domänencontroller, und starten Sie das Tool Active Directory-Benutzer und -Computer. Dazu klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie dsa.msc ein und klicken Sie dann auf OK.
  2. Maustaste auf den Container, in dem Sie das Gruppenrichtlinienobjekt konfigurieren möchten, und klicken Sie dann auf Eigenschaften. Beispielsweise mit der rechten Maustaste des Domänencontainers oder Maustaste einen Organisationseinheit-Container.
  3. Klicken Sie auf die Registerkarte Gruppenrichtlinie , und klicken Sie dann auf neu.
  4. Geben Sie einen beschreibenden Namen für die Richtlinie und dann die EINGABETASTE.
  5. Klicken Sie auf Bearbeiten , um den Gruppenrichtlinien-Editor zu starten.
  6. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungenerweitern Sie Sicherheit, und klicken Sie auf Richtlinien öffentlicher Schlüssel.
  7. Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie dann auf Eigenschaften.
  8. Klicken Sie auf Enterprise-Stammzertifizierungsstellen
  9. Beenden Sie den Gruppenrichtlinien-Editor.
  10. Klicken Sie auf OK , um das Dialogfeld Eigenschaften der Objektname schließen.

Schritt 2: Hinzufügen von Stammzertifikaten im Zertifikatspeicher "Vertrauenswürdige Stammzertifizierungsstellen"

  1. Exportieren von benötigten Stammzertifikate aus lokalen Computerspeicher des entsprechenden Servers. Dazu gehören Stammzertifikate für interne Zertifizierungsstellen (CAs) und Stammzertifikate für Öffentliche Zertifizierungsstellen, die Ihre Organisation benötigt.
  2. Melden Sie sich bei einem Domänencontroller, und starten Sie das Tool Active Directory-Benutzer und -Computer.
  3. Maustaste den Container, der das Gruppenrichtlinienobjekt in erstellt der "Schritt 1: Erstellen eines Gruppenrichtlinienobjekts" Abschnitt, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Gruppenrichtlinie , klicken Sie auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten.
  5. Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungenerweitern Sie Sicherheit, und klicken Sie auf Richtlinien öffentlicher Schlüssel.
  6. Maustaste auf Vertrauenswürdige Stammzertifizierungsstellenund klicken Sie dann auf Importieren.
  7. Folgen Sie den Schritten in dem Zertifikatimport-Assistenten das Stammzertifikat oder Zertifikate, die Sie in Schritt 2a exportiert.
  8. Beenden Sie den Gruppenrichtlinien-Editor.
  9. Klicken Sie auf OK , um das Dialogfeld Eigenschaften der Objektname schließen.
Hinweis Es gibt einige Stammzertifikate, die von Windows erforderlich sind. Sie müssen diese Zertifikate zur Richtlinie hinzufügen, die Sie erstellt haben. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

293781 vertrauenswürdige Stammzertifikate, die von Windows Server 2003, Windows XP und Windows 2000 benötigt werden

Methode 3: Konfigurieren von Schannel nicht mehr die Liste der vertrauenswürdigen Stammzertifizierungsstellen während TLS/SSL-Handshake-Prozess senden

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Auf dem Server mit IIS oder IAS-Server, auf dem das Problem auftritt, den folgenden Registrierungseintrag auf False festgelegt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Wert: SendTrustedIssuerList
Typ: REG_DWORD
Wert: 0 (falsch)
Standardmäßig wird dieser Eintrag nicht in der Registrierung aufgeführt. Standardmäßig ist dieser Wert 1 (WAHR). Dieser Registrierungseintrag steuert das Flag, die steuert, ob der Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client sendet. Wenn dieser Registrierungseintrag auf False festgelegt wird, sendet der Server eine Liste vertrauenswürdiger Zertifizierungsstellen nicht an den Client. Dieses Verhalten kann betreffen wie der Client eine Anforderung für ein Zertifikat entspricht. Wenn Internet Explorer eine Anforderung zur Client-Authentifizierung erhält, zeigt der Internet Explorer nur Clientzertifikate, die angezeigt werden in der Kette von einer der Zertifizierungsstellen in der Liste der Server an. Sendet der Server eine Liste vertrauenswürdiger Zertifizierungsstellen nicht zeigt Internet Explorer jedoch alle Client-Zertifikate, die auf dem Computer installiert sind.

Gehen Sie folgendermaßen vor, um diesen Registrierungseintrag festgelegt:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie dann darauf:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie dann auf DWORD-Wert.
  4. Geben Sie SendTrustedIssuerListund drücken Sie den Wertnamen.
  5. Maustaste auf SendTrustedIssuerList, und klicken Sie auf Ändern.
  6. Geben Sie im Feld Wert 0 ein, wenn dieser Wert nicht bereits angezeigt wird, und klicken Sie auf OK.
  7. Registrierungseditor beenden.
Weitere Informationen zu SCHANNEL-Registrierungseintrag finden Sie auf der folgenden Microsoft-Website:

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Windows Server 2003 soll automatisch die Liste der vertrauenswürdigen Zertifizierungsstellen auf der Microsoft Windows Update-Website überprüfen, wenn Sie Stammzertifikate aktualisieren. Anschließend installiert Windows das entsprechende Stammzertifikat, nachdem das Zertifikat des Benutzers Programm überprüft wird.

Hinweis In Windows Server 2003, die Liste der Zertifizierungsstellen darf nicht überschreiten 12,228 (0 x 3000) Bytes. Wenn Sie Stammzertifikate aktualisieren, kann die Liste der vertrauenswürdigen Zertifizierungsstellen erheblich. Daher werden die Liste zu lang. In diesem Fall schneidet Windows die Liste. Dieses Verhalten kann Berechtigungsprobleme verursachen. In diesem Fall auftreten das Problem, das im Abschnitt "Symptome" beschrieben wird.

Konfigurieren der Protokollierung für Schannel-Ereignisse

Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.

Legen Sie den folgenden Registrierungseintrag konfigurieren Schannel um Warnungsereignisse im Systemprotokoll protokolliert:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel

Wert: EventLogging
Typ: REG_DWORD
Wert: 0 x 3
Hinweis Der Wert 0 x 3 konfiguriert Schannel Warn- und Fehlerereignisse zu protokollieren.

Weitere Informationen zum Konfigurieren der Protokollierung für Schannel-Ereignisse finden Sie im folgenden Artikel der Microsoft Knowledge Base:

260729 zum Schannel-Protokollierung in IIS aktivieren

Referenzen

Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

931125 Mitglieder des Microsoft-Programms für Zertifikat (Januar 2007)

Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

814394 Anforderungen bei Verwendung von EAP-TLS oder PEAP mit EAP-TLS

Eigenschaften

Artikelnummer: 933430 – Letzte Überarbeitung: 14.01.2017 – Revision: 1

Feedback