Les clients ne peuvent pas établir de connexions si vous avez besoin de certificats client sur un site Web ou si vous utilisez IAS dans Windows Server 2003

Important Cet article contient des informations sur la façon de modifier le Registre. Assurez-vous que vous sauvegardez le Registre avant de le modifier. Assurez-vous que vous savez comment restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

description du Registre Microsoft Windows

Symptômes

Examinons les scénarios suivants.

Scénario 1

  • Vous avez un site Web de Microsoft Internet Information Services (IIS) 6.0 qui utilise le protocole Secure Sockets Layer (SSL) pour crypter les connexions client.

  • L’option Exiger les certificats clients est sélectionnée dans la boîte de dialogue Communications sécurisées de la boîte de dialogue Propriétés de nom du site Web .

Dans ce scénario, vous pouvez rencontrer les problèmes suivants :

  • Clients ne peut pas se connecter au site Web avec succès.

  • L’événement d’avertissement suivant est enregistré sur l’ordinateur qui héberge le site Web basé sur Microsoft Windows Server 2003 :

Remarque Par défaut, les événements d’avertissement de Secure Channel (Schannel) ne sont pas enregistrés. Pour plus d’informations sur la façon de configurer l’enregistrement des événements de canal sécurisé, consultez la section « Informations complémentaires ».

Scénario 2

Vous utilisez un ordinateur Microsoft Windows Server 2003 qui exécute Microsoft Internet Authentication Service (IAS) pour prendre en charge l’authentification d’un réseau sans fil. Dans ce scénario, vous pouvez rencontrer les problèmes suivants :

  • Le serveur IAS ne peut pas authentifier avec succès des clients. Par conséquent, les ordinateurs clients sans fil impossible de se connecter au réseau sans fil avec succès.

  • Un événement d’avertissement semblable au suivant est enregistré sur le serveur IAS :

  • Un événement semblable à l’événement d’avertissement suivant peut être enregistré sur le serveur IAS :

Remarque Par défaut, les événements d’avertissement de Secure Channel (Schannel) ne sont pas enregistrés. Pour plus d’informations sur la façon de configurer l’enregistrement des événements de canal sécurisé, consultez la section « Informations complémentaires ».

Cause

Ce problème peut se produire si le serveur Web ou le serveur IAS contient de nombreuses entrées de la liste de certification de racine de confiance. Le serveur envoie une liste des autorités de certification approuvées au client si les conditions suivantes sont remplies :

  • Le serveur utilise la sécurité TLS (Transport Layer) / protocole de SSL pour crypter le trafic du réseau.

  • Les certificats clients sont requis pour l’authentification au cours du processus de négociation de l’authentification.

Cette liste d’autorités de certification de confiance représente les autorités à partir de laquelle le serveur peut accepter un certificat client. Pour être authentifié par le serveur, le client doit avoir un certificat qui est présent dans la chaîne de certificats jusqu'à un certificat racine à partir de la liste du serveur.

Actuellement, la taille maximale de la liste d’autorités de certification de confiance qui prend en charge par le package de sécurité Schannel est 12,228 (0 x 3000) octets.

Schannel crée la liste des autorités de certification approuvées par recherche dans le magasin d’autorités de Certification racines de confiance sur l’ordinateur local. Chaque certificat est approuvé pour l’authentification client est ajouté à la liste. Si la taille de cette liste dépasse octets 12,228, Schannel enregistre l’ID d’événement avertissement 36885. Ensuite, Schannel tronque la liste des certificats racine de confiance et envoie cette liste tronquée à l’ordinateur client.

Lorsque l’ordinateur client reçoit la liste tronquée des certificats racine de confiance, l’ordinateur client est peut-être pas un certificat qui existe dans la chaîne d’un émetteur de certificat de confiance. Par exemple, l’ordinateur client peut avoir un certificat qui correspond à un certificat racine approuvé que Schannel tronqué à partir de la liste des autorités de certification de confiance. Par conséquent, le serveur IAS ne peut pas authentifier le client.

Le correctif augmente la mémoire de tampon de sécurité Schannel à 16 Ko. Si vous dépassez cette limite, vous aurez toujours des problèmes qui sont décrits dans la section Symptômes de cet article. Cette modification a également été incluse dans Windows Server 2008 et Windows Server 2008 R2. Les solutions de contournement décrites ci-dessous seront applique également à Windows Server 2008 et Windows Server 2008 R2.


Résolution

Informations sur le correctif

Un correctif pris en charge est désormais disponible auprès de Microsoft. Toutefois, il est conçu pour résoudre uniquement le problème décrit dans cet article. Il s’applique uniquement aux systèmes rencontrant ce problème spécifique. Ce correctif peut subir des tests supplémentaires. Par conséquent, si vous n’êtes pas sérieusement concerné par ce problème, nous vous recommandons d’attendre le prochain service pack Windows Server 2003 qui comprendra ce correctif.

Pour résoudre ce problème immédiatement, contactez les Services de Support technique Microsoft pour obtenir le correctif. Pour obtenir une liste complète des numéros de téléphone des Services de Support technique Microsoft et des informations sur les coûts de support, visitez le site Web de Microsoft à l’adresse suivante :

Remarque Dans des cas particuliers, des frais généralement encourus pour les appels au support technique peuvent être annulés si un technicien du support technique Microsoft détermine qu'une mise à jour spécifique peut résoudre votre problème. Les coûts habituels du support technique s’appliqueront aux autres questions et problèmes qui ne relèvent pas de la mise à jour spécifique en question.

Conditions préalables

Pour appliquer ce correctif, vous devez disposer de Windows Server 2003 Service Pack 1 (SP1) ou Windows Server 2003 Service Pack 2 (SP2) est installé sur l’ordinateur. Pour plus d’informations sur la façon d’obtenir le dernier service pack pour Windows Server 2003, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

comment faire pour obtenir le dernier service pack pour Windows Server 2003

Nécessite un redémarrage

Vous devez redémarrer l’ordinateur après avoir appliqué ce correctif.

Informations de remplacement du correctif

Ce correctif ne remplace aucun autre correctif.

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément de Date et heure dans le panneau de configuration.

Windows Server 2003, versions x86 avec le Service Pack 1

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×