Problemi di comunicazione SSL/TLS dopo l'installazione di KB 931125
Questo articolo fornisce una soluzione ai problemi di comunicazione SSL/TLS che si verificano dopo l'installazione di KB 931125.
Si applica a: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 2801679
Sintomi
Dopo l'11 dicembre 2012, le applicazioni e le operazioni che dipendono dalle autenticazioni basate su TLS potrebbero avere esito negativo improvvisamente, anche se non presentano alcuna modifica apparente alla configurazione. Alcune delle applicazioni e delle operazioni che potrebbero non riuscire includono, a titolo esemplificazionale, le seguenti:
- Accesso alla rete wireless che usa l'autenticazione basata su certificati
- Accesso alla rete cablata che usa l'autenticazione basata su certificati
- Connettività client a Lync o a Office Communications Server
- Segreteria telefonica che usa Exchange Server insieme alla messaggistica unificata
- Accesso al sito Web abilitato per SSL
- Accessi di Outlook
- Ritardi di avvio del sistema operativo (avvio lento)
- Ritardi degli accessi utente (accesso lento)
Gli eventi registrati in Windows o nei log eventi specifici dell'applicazione e che consentono di identificare in modo definitivo o ambito il sintomo descritto in questo articolo includono, a titolo esemplificativa, gli eventi elencati nella tabella seguente.
| Registro eventi | Origine evento | ID evento | Testo evento |
|---|---|---|---|
| Sistema | Schannel | 36885 | Quando si richiede l'autenticazione client, questo server invia un elenco di autorità di certificazione attendibili al client. Il client usa questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, questo server considera attendibili così tante autorità di certificazione che l'elenco è cresciuto troppo a lungo. L'elenco è stato quindi troncato. L'amministratore di questo computer deve esaminare le autorità di certificazione attendibili per l'autenticazione client e rimuovere quelle che non devono essere considerate attendibili. |
| Sistema | Schannel | 36887 | È stato ricevuto l'avviso irreversibile seguente: 47 |
| Sistema | NapAgent | 39 | L'agente protezione accesso alla rete non è stato in grado di determinare da quali autorità di certificazione richiedere un certificato di integrità. Una modifica di rete o se è configurato Criteri di gruppo, una modifica della configurazione richiederà ulteriori tentativi di acquisizione di un certificato di integrità. In caso contrario, non verranno effettuati altri tentativi. Per altre informazioni, contattare l'amministratore dell'autorità registrazione integrità. |
| Sistema | Remoteaccess | 20225 | Si è verificato l'errore seguente nel modulo Point to Point Protocol sulla porta: VPN2-509, UserName: <username>. La connessione è stata impedita a causa di un criterio configurato nel server RAS/VPN. In particolare, il metodo di autenticazione usato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e notificare l'errore. |
| Sistema | Remoteaccess | 20271 | Il nome utente utente <> connesso dall'indirizzo <> IP ma non è riuscito a eseguire un tentativo di autenticazione a causa del motivo seguente: La connessione è stata impedita a causa di un criterio configurato nel server RAS/VPN. In particolare, il metodo di autenticazione usato dal server per verificare il nome utente e la password potrebbe non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e notificare l'errore. |
Causa
Questi problemi possono verificarsi se sono state aggiornate le autorità di certificazione radice di terze parti usando il pacchetto di aggiornamento 931125 kb di dicembre 2012. Il pacchetto kb 931125 pubblicato l'11 dicembre 2012 era destinato solo agli SKU client. Tuttavia, è stato offerto anche per gli SKU del server per un breve periodo di tempo su Windows Update e WSUS.
Questo pacchetto ha installato più di 330 autorità di certificazione radice di terze parti. Attualmente, le dimensioni massime dell'elenco delle autorità di certificazione attendibili supportate dal pacchetto di sicurezza Schannel sono di 16 kilobyte (KB). Avere una grande quantità di autorità di certificazione radice di terze parti supera il limite di 16k e si verificheranno problemi di comunicazione TLS/SSL.
Risoluzione
Se si usa WSUS e non è stato installato l'aggiornamento 931125 kb di dicembre 2012, è necessario sincronizzare i server WSUS e quindi approvare le scadenze in modo che i server non installino l'aggiornamento.
Se è stato installato il pacchetto di aggiornamento 931125 kb di dicembre 2012, è consigliabile usare la risoluzione seguente per rimuovere altre autorità di certificazione radice di terze parti in tutti i server che ora dispongono di una grande quantità di autorità di certificazione radice di terze parti.
Nota
Questa soluzione rimuove tutte le autorità di certificazione radice di terze parti. Se il server ha connettività a Windows Update, aggiungerà automaticamente le autorità di certificazione radice di terze parti in base alle esigenze, come descritto anche in KB 931125. Se un server interessato è isolato o disconnesso da Internet, è necessario aggiungere manualmente le autorità di certificazione radice di terze parti necessarie come si sarebbe fatto in passato. In alternativa, è possibile installarli usando Criteri di gruppo.
Per risolvere questo problema, eliminare la chiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
A tal fine, attenersi alla seguente procedura:
- Avviare Editor del Registro di sistema
- Individuare la sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot - Fare clic con il pulsante destro del mouse e quindi eliminare la chiave denominata Certificati.
Nota
Assicurarsi di eseguire un backup del Registro di sistema e delle chiavi interessate prima di apportare modifiche al sistema.
Ulteriori informazioni
Questi problemi possono verificarsi se un server TLS/SSL contiene molte voci nell'elenco di certificazione radice attendibile. Se si verificano le condizioni seguenti, il server invia un elenco di autorità di certificazione attendibili al client:
- Il server usa il protocollo TLS (Transport Layer Security)/SSL per crittografare il traffico di rete.
- I certificati client sono necessari per l'autenticazione durante il processo di handshake di autenticazione.
Questo elenco di autorità di certificazione attendibili rappresenta le autorità da cui il server può accettare un certificato client. Per essere autenticato dal server, il client deve avere un certificato presente nella catena di certificati a un certificato radice dall'elenco del server. Questo perché il certificato client è sempre il certificato dell'entità finale alla fine della catena. Il certificato client non fa parte della catena.
Attualmente, le dimensioni massime dell'elenco delle autorità di certificazione attendibili supportate dal pacchetto di sicurezza Schannel sono 16 KB in Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.
Schannel crea l'elenco delle autorità di certificazione attendibili eseguendo una ricerca nell'archivio Autorità di certificazione radice attendibili nel computer locale. Ogni certificato considerato attendibile per l'autenticazione client viene aggiunto all'elenco. Se le dimensioni di questo elenco superano i 16 KB, Schannel registra l'ID evento di avviso 36855. Schannel tronca quindi l'elenco dei certificati radice attendibili e invia questo elenco troncato al computer client.
Quando il computer client riceve l'elenco troncato di certificati radice attendibili, il computer client potrebbe non avere un certificato presente nella catena di un'autorità di certificazione attendibile. Ad esempio, il computer client può avere un certificato che corrisponde a un certificato radice attendibile troncato da Schannel dall'elenco delle autorità di certificazione attendibili. Pertanto, il server non può autenticare il client.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per