Klijenti ne mogu provjeriti autentičnost poslužitelja nakon dobivanja novog certifikata radi zamjene isteklog certifikata na poslužitelju


Simptomi


Nakon zamjene isteklog certifikata s novim certifikatom na poslužitelju na kojem je instaliran servis Microsoft Internet Authentication (IAS) ili usmjeravanje i daljinski pristup, klijenti s proširenim protokolom za provjeru autentičnosti (e AP-TLS) konfigurirani za provjeru certifikata poslužitelja više ne mogu provjeriti autentičnost poslužitelja. Kada pogledate zapisnik sustava u pregledniku događaja na klijentskom računalu, prikazat će se sljedeći događaj: Ako u aplikaciji Rastls. log možete omogućiti verbose zapisivanje na poslužitelju na kojem je pokrenuta funkcija IAS ili usmjeravanje i daljinski pristup (na primjer, pokretanjem naredbe netsh Ras zalazak praćenja * Omogući ), informacije slične sljedećem prikazane Napomena Ako koristite IAS kao poslužitelj radijusa radi provjere autentičnosti, prikazat će vam se to ponašanje na serveru IAS. Ako koristite usmjeravanje i daljinski pristup, a usmjeravanje i udaljeni pristup konfigurirani su za provjeru autentičnosti sustava Windows (ne za provjeru autentičnosti radijusa), to će se pojaviti na poslužitelju za usmjeravanje i daljinski pristup.
1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK will not be ignored[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE will not be ignored[1072] 15:47:57:280: The root cert will not be checked for revocation[1072] 15:47:57:280: The cert will be checked for revocation[1072] 15:47:57:280: [1072] 15:47:57:280: EapTlsMakeMessage(Example\client)[1072] 15:47:57:280: >> Received Response (Code: 2) packet: Id: 11, Length: 25, Type: 0, TLS blob length: 0. Flags: [1072] 15:47:57:280: EapTlsSMakeMessage[1072] 15:47:57:280: EapTlsReset[1072] 15:47:57:280: State change to Initial[1072] 15:47:57:280: GetCredentials[1072] 15:47:57:280: The name in the certificate is: server.example.com[1072] 15:47:57:312: BuildPacket[1072] 15:47:57:312: << Sending Request (Code: 1) packet: Id: 12, Length: 6, Type: 13, TLS blob length: 0. Flags: S[1072] 15:47:57:312: State change to SentStart[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:452: [1072] 15:47:57:452: EapTlsMakeMessage(Example\client)[1072] 15:47:57:452: >> Received Response (Code: 2) packet: Id: 12, Length: 80, Type: 13, TLS blob length: 70. Flags: L[1072] 15:47:57:452: EapTlsSMakeMessage[1072] 15:47:57:452: MakeReplyMessage[1072] 15:47:57:452: Reallocating input TLS blob buffer[1072] 15:47:57:452: SecurityContextFunction[1072] 15:47:57:671: State change to SentHello[1072] 15:47:57:671: BuildPacket[1072] 15:47:57:671: << Sending Request (Code: 1) packet: Id: 13, Length: 1498, Type: 13, TLS blob length: 3874. Flags: LM[1072] 15:47:57:702: [1072] 15:47:57:702: EapTlsMakeMessage(Example\client)[1072] 15:47:57:702: >> Received Response (Code: 2) packet: Id: 13, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:702: EapTlsSMakeMessage[1072] 15:47:57:702: BuildPacket[1072] 15:47:57:702: << Sending Request (Code: 1) packet: Id: 14, Length: 1498, Type: 13, TLS blob length: 0. Flags: M[1072] 15:47:57:718: [1072] 15:47:57:718: EapTlsMakeMessage(Example\client)[1072] 15:47:57:718: >> Received Response (Code: 2) packet: Id: 14, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:718: EapTlsSMakeMessage[1072] 15:47:57:718: BuildPacket[1072] 15:47:57:718: << Sending Request (Code: 1) packet: Id: 15, Length: 900, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: [1072] 15:48:12:905: EapTlsMakeMessage(Example\client)[1072] 15:48:12:905: >> Received Response (Code: 2) packet: Id: 15, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: EapTlsSMakeMessage[1072] 15:48:12:905: MakeReplyMessage[1072] 15:48:12:905: SecurityContextFunction[1072] 15:48:12:905: State change to SentFinished. Error: 0x80090318[1072] 15:48:12:905: Negotiation unsuccessful[1072] 15:48:12:905: BuildPacket[1072] 15:48:12:905: << Sending Failure (Code: 4) packet: Id: 15, Length: 4, Type: 0, TLS blob le 

Uzrok


Taj se problem može pojaviti ako su ispunjeni svi sljedeći uvjeti:
  • Poslužitelj IAS-a ili usmjerenja i udaljenog pristupa jest član domene, no u domeni nije konfiguriran automatska funkcija zahtjeva za zahtjev za certifikatom (samouvrštenja). Ili poslužitelj za IAS ili usmjeravanje i udaljeni pristup nije član domene.
  • Ručno zahtijevate i primate novi certifikat za značajke IAS-a ili Usmjeritelja na udaljeni pristup.
  • Istekli certifikat ne uklanjate iz poslužitelja za IAS ili usmjeravanje i udaljeni pristup.
Ako je istekli certifikat prisutan na servisu IAS ili za usmjeravanje i daljinski pristup s novim valjanim certifikatom, provjera autentičnosti klijenta ne uspijeva. Rezultat "Error 0x80090328" koji se prikazuje u zapisniku događaja na klijentskom računalu odgovara "isteklom certifikatu".

Zaobilazno rješenje


Da biste zaobišli taj problem, uklonite istekli (arhivirani) certifikat. Da biste to učinili, slijedite ove korake:
  1. Otvorite dodatak Microsoftova konzola za upravljanje (MMC-a) u kojem upravljate trgovinom certifikatom na aplikaciji IAS. Ako još nemate dodatak MMC-a da biste prikazali spremište certifikata, stvorite ga. Da biste to učinili, učinite sljedeće:
    1. Kliknite Start, zatim Pokreni, u okvir Otvori upišite MMC , a zatim kliknite u redu.
    2. Na izborniku konzola (izbornik datoteka u sustavu Windows Server 2003) kliknite Dodaj/ukloni dodatak, a zatim kliknite Dodaj.
    3. Na popisu Dostupni samostalni dodaci kliknite potvrde, zatim Dodaj, zatim računalni račun, zatim dalje, a potom završi.Napomena Možete i dodati dodatak za certifikate za korisnički račun i račun servisa u ovaj dodatak za MMC.
    4. Kliknite Zatvori, a zatim u redu.
  2. U odjeljku korijen konzolekliknite certifikati (lokalno računalo).
  3. Na izborniku Prikaz kliknite mogućnosti.
  4. Kliknite da biste potvrdili okvir arhivirane certifikate , a zatim kliknite u redu.
  5. Proširite osobno, a zatim kliknite certifikati.
  6. Desnom tipkom miša kliknite digitalni certifikat isteklog (arhiviranog), kliknite Izbriši, a zatim da da biste potvrdili uklanjanje isteklog certifikata.
  7. Zatvorite dodatak MMC-a. Da biste dovršili postupak, ne morate ponovno pokrenuti računalo ni servise.

Dodatne informacije


Microsoft preporučuje da konfigurirate automatske zahtjeve za certifikatom da biste obnovili digitalne certifikate u svojoj tvrtki ili ustanovi. Dodatne informacije o samouvrštavanju certifikata u sustavu Windows XP potražite na sljedećem Microsoftovu web-mjestu: