Connessione TLS non riuscita tra Microsoft unified communications peer genera un avviso di Schannel

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 2464556
Sintomi
Ciascuna delle seguenti applicazioni non è possibile creare una connessione di Transport Layer Security (TLS) con peer Microsoft unified communications (UC) dell'applicazione:
  • Microsoft Exchange Server
  • Microsoft Office Communications Server
  • Client di Communicator Microsoft
  • Microsoft® Office Live Meeting 2007 client
  • Microsoft Lync Server
  • Microsoft Lync client
Inoltre, viene visualizzato il seguente messaggio di avviso Schannel e la descrizione del problema nel registro eventi di Windows Server:

Tipo di evento: avviso
Origine evento: Schannel
Categoria evento: nessuno
ID evento: 36885
Data: data
Ora: ora
Utente:
Computer: nomecomputer

Descrizione: Quando richiedono l'autenticazione del client, il server invia un elenco di autorità di certificazione attendibili al client. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, molte autorità di certificazione che l'elenco è diventato troppo lungo ritenute attendibili dal server. Questo elenco è pertanto stato troncato. L'amministratore del computer deve esaminare le autorità di certificazione attendibili per l'autenticazione client e rimuovere quelli che effettivamente non è necessario che sia attendibile.

Cause
Questo problema si verifica perché il server UC non supera le informazioni di autorità di certificazione corretta al client UC durante la negoziazione della connessione TLS. Al contrario, si verifica il seguente scenario:

  • Il server UC passa relativo elenco di certificati attendibili (CTL) di informazioni autorità di certificazione installata nel client di comunicazioni unificate che richiede la connessione TLS protetta.
  • Il CTL è troncato secondo le limitazioni di progettazione del componente Windows Server Schannel.
  • Il client di comunicazioni unificate che ha richiesto la connessione TLS protetta non riceve informazioni di autorità di certificazione che soddisfano le voci contenute nell'elenco di autorità di certificazione installata.
  • Il tentativo di connessione TLS non riesce con l'errore descritto nella sezione "Sintomi".

Questo problema si verifica a causa della progettazione del componente del sistema operativo Windows Server che ospita le applicazioni UC Schannel.

Nota. Per ulteriori informazioni sul componente Schannel del sistema operativo Windows Server e le limitazioni del relativo elenco di certificati Attendibili, vedere "Windows Server 2003", "Windows Server 2008 R2 e Windows Server 2008" e "Windows Server 2012" sottosezione della sezione "Ulteriori informazioni".
Workaround
I seguenti metodi per risolvere il problema descritto nella sezione "Sintomi".

Metodo 1:Rimuovere alcuni certificati principali attendibili


Avviso. È necessario prestare attenzione quando si rimuove i certificati delle autorità principali attendibili. La rimozione dei certificati di autorità principali attendibili di terze parti potrebbe interrompere accesso client protetto per le applicazioni ospitate sul server basato su Windows.

Se alcuni attendibili i certificati principali non sono utilizzati nel proprio ambiente, è necessario rimuoverli dal server che ospita l'applicazione UC. A tale scopo, attenersi alla seguente procedura:

Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003
  1. Fare clic su Start, scegliere Esegui, tipo MMC, quindi scegliere OK.
  2. Nella File menu, fare clic su Aggiungi/Rimuovi Snap-ine quindi fare clic su Aggiungi.
  3. Nella Aggiungi Standalone Snap-in nella finestra di dialogo, fare clic su certificatie quindi fare clic su Aggiungi.
  4. Fare clic su account del Computer, fare clic su Avantie quindi fare clic su Fine.
  5. Fare clic su Chiudie quindi fare clic su OK.
  6. In directory principale Console nello snap-in Microsoft Management Console (MMC) espandere certificati (Computer locale), espandere Autorità di certificazione fonti attendibilie quindi fare clic su certificati.
  7. Rimuovere i certificati principali attendibili che non è necessario avere. A tale scopo, destro del mouse su un certificato, fare clic su Eliminae quindi fare clic su per confermare che si desidera rimuovere il certificato.
InformazioniPer ulteriori informazioni su come automatizzare la rimozione e l'installazione dei certificati di autorità principali attendibili di terze parti installato nei sistemi operativi Windows Server, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

2801679 Problemi di comunicazione SSL/TLS dopo l'installazione 931125 KB

Informazioni Esistono alcuni certificati richiesti da Windows. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

293781 Certificati principali attendibili necessari per Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Metodo 2:Configurare criteri di gruppo per ignorare l'elenco di autorità di certificazione sul computer che ospita il client di comunicazioni unificate di attendibili

Se il server che ospita l'applicazione UC è un membro di un dominio, è possibile creare un criterio che fa sì che il server per ignorare l'elenco delle autorità di certificazione attendibili sul computer che ospita il client di comunicazioni unificate. Quando si applica questo criterio, i server interessati e i client attendibili solo i certificati nell'archivio Autorità di certificazione radice. Pertanto, non è necessario modificare i singoli computer.

WindowsServer 2008 R2 o Windows Server 2008

Utilizzare i criteri per distribuire i certificati

WindowsServer 2003

Aggiungere un'autorità di certificazione principale attendibile a un oggetto Criteri di gruppo


Nota. Esistono alcuni certificati richiesti da Windows. È necessario aggiungere questi certificati per il criterio creato. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

293781 Certificati principali attendibili necessari per Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Metodo 3:Schannel configurare per l'invio non è più l'elenco delle autorità di certificazione principale attendibile durante il processo di handshake TLS/SSL

È possibile attenersi alla seguente procedura in Windows Server 2008 R2, Windows Server 2008 e Windows Server 2003.

Avviso. L'errata modifica del Registro di sistema utilizzando l'Editor del Registro di sistema o un altro metodo può causare problemi gravi. Questi problemi possono richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che questi problemi possano essere risolti. Modificare il Registro di sistema a proprio rischio.

Sul server che esegue l'applicazione di comunicazioni unificate in cui si verifica questo problema, impostare la seguente voce del Registro di sistema su false:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nome valore: SendTrustedIssuerList
Tipo di valore: REG_DWORD
Dati valore: 0 (FALSO)


Per impostazione predefinita, questa voce non è elencata nel Registro di sistema. Per impostazione predefinita, questo valore è 1 (True). Questa voce del Registro di sistema controlla il flag che controlla se il server invia al client un elenco di autorità di certificazione attendibili. Quando si imposta questa voce del Registro di sistema su False, il server non invia un elenco di autorità di certificazione attendibili al client. Questo problema potrebbe riguardare il modo in cui il client risponde a una richiesta di certificato. Ad esempio, se Internet Explorer riceve una richiesta per l'autenticazione client, Internet Explorer visualizza solo i certificati client presenti nella catena di una delle autorità di certificazione che l'elenco dal server. Tuttavia, se il server non invia un elenco di autorità di certificazione attendibili, Internet Explorer consente di visualizzare tutti i certificati client sono installati nel computer client.

Per impostare questa voce del Registro di sistema, attenersi alla seguente procedura:
  1. Fare clic su Start, scegliere Esegui, tipo Regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. Nella Modifica menu, scegliere Nuovoe quindi fare clic su Valore DWORD.
  4. Tipo SendTrustedIssuerList, quindi premere INVIO per il nome della voce del Registro di sistema.
  5. Il pulsante destro del SendTrustedIssuerListe quindi fare clic su Modifica.
  6. Nel dati valore , digitare0 Se valore non è già visualizzata e quindi fare clic su OK.
  7. Uscire dall'Editor del Registro di sistema.
Nota. Esistono alcuni certificati richiesti da Windows. È necessario aggiungere questi certificati per il criterio creato. Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

293781 Certificati principali attendibili necessari per Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP e Windows 2000

Informazioni
Anche se questo non viene registrato nella sezione "Sintomi", questo problema può verificarsi in tutti i computer che eseguono Windows Server 2003 o Windows Server 2008 e che ospitano i componenti di Microsoft Exchange Unified Communications, ad esempio i seguenti ruoli:
  • Server accesso client
  • Cassetta postale
  • Microsoft Unified Communications Server

Questi sistemi operativi Windows è possibile utilizzare il meccanismo di aggiornamento automatico principale per scaricare gli aggiornamenti di autorità di certificazione dal sito Web Microsoft Windows Update quando un client richiede una connessione TLS protetta. Questo processo di aggiornamento automatico del certificato, il server si accumulano le informazioni di autorità supplementari di certificazione sono necessaria per assicurarsi di richieste di connessione TLS UC client protette. Il componente di Windows Server Schannel esegue il marshalling le informazioni di autorità di certificazione radice per il client di comunicazioni unificate che richiede la connessione TLS protetta. Il client UC verrà confrontati con il contenuto del CTL Schannel con il relativo elenco di informazioni autorità di certificazione. Questo processo assicura che le corrispondenti informazioni del certificato radice è presente in entrambi gli endpoint della connessione TCP per la continuità del processo di handshake TLS. Tuttavia, il componente di Windows Server Schannel può effettuare il marshalling solo una quantità limitata delle informazioni di autorità di certificazione installato Windows Server nella sua CTL al client UC che richiede la connessione TLS protetta. In alcuni scenari, in questo modo sicura TLS richiesta di connessione del client UC non riesca.

Per ulteriori informazioni sulle differenze di progettazione per la radice di automatica di Windows Server 2003 e Windows Server 2008 aggiornamento delle configurazioni e sulle limitazioni di elenco Autorità di certificazione Schannel, vedere le sezioni seguenti.

Windows Server 2003:


In Windows Server 2003, l'elenco di autorità emittente non può essere maggiore di 12,288 (o 0x3000) byte. L'installazione di Windows Server 2003 SP1 o dell'aggiornamento rapido di Windows Server 2003 SP2 KB933940 elencati nella sezione "Informazioni" fornisce un emittente allargato byte di capacità di 16.384 (o 0x4000).

Il meccanismo di aggiornamento automatico radice non è abilitato in Windows Server 2003. Windows Server 2003 supporta il meccanismo di aggiornamento automatico di radice. Per ulteriori informazioni sugli aggiornamenti automatici radice per Server 2003, visitare il seguente sito Web Microsoft TechNet:


Windows Server 2008 R2 e Windows Server 2008


In Windows Server 2008, l'elenco di autorità emittente non può essere maggiore di 16.384 (o 0x4000) byte.

Per impostazione predefinita, il meccanismo di aggiornamento automatico radice è attivato in Windows Server 2008 e Windows Server 2008 R2. Per ulteriori informazioni su come gestire il meccanismo di aggiornamento automatico di radice, visitare il seguente sito Web Microsoft TechNet:


Windows Server 2012

Windows Server 2012 non supporta la funzionalità di Schannel CTL era presente nelle versioni precedenti dei sistemi operativi Windows Server. Per ulteriori informazioni sulle modalità di gestione dei certificati attendibili in Windows Server 2012, leggere la sezione "Gestione delle certificazioni attendibili per l'autenticazione client" del seguente articolo Microsoft TechNet:

Per ulteriori informazioni sul problema descritto nella sezione "Sintomi", fare clic sui numeri per visualizzare gli articoli della Microsoft Knowledge Base:

933430 I client non possono effettuare connessioni se si richiedono i certificati client in un sito Web o se si utilizza il servizio IAS in Windows Server 2003

931125 Membri Windows root certificate program

Autenticazione client TLS l'autenticazione ha esito negativo schannel LM LM2007 LMSC LMCC LM2007Rev YesPartner

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 2464556 - Ultima revisione: 10/22/2013 06:58:00 - Revisione: 4.0

Microsoft Lync Server 2013, Microsoft Lync Server 2010 Enterprise Edition, Microsoft Lync Server 2010 Standard Edition, Microsoft Office Communications Server 2007 R2 Enterprise Edition, Microsoft Office Communications Server 2007 R2 Standard Edition, Microsoft Office Communications Server 2007 Standard Edition, Microsoft Office Communications Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Enterprise, Microsoft Exchange Server 2007 Enterprise Edition, Microsoft Exchange Server 2010 Standard, Microsoft Exchange Server 2007 Standard Edition, Microsoft Office Live Meeting 2007

  • kbsurveynew vkbportal107 vkbportal230 vkbportal238 kbtshoot kbexpertiseinter kbmt KB2464556 KbMtit
Feedback