Autenticazione dei certificati client SSL/TLS non funziona in Windows 8 o Windows Server 2012

Sintomi

Si consideri lo scenario seguente:

  • Utilizzare l'autenticazione del certificato client Secure Sockets Layer/Transport Layer Security (SSL/TLS) su un computer che esegue Windows 8 o Windows Server 2012.

  • Viene eseguita un'operazione apparentemente non collegato per l'autenticazione del certificato client SSL/TLS. Tuttavia, l'operazione comporta l'archivio principale attendibile superare il limite di 16 kilobyte (KB). Ad esempio, viene eseguita una delle operazioni seguenti:

    • In una sessione remota, un utente non autenticato analizza il server endpoint SSL utilizzando un certificato client che è concatenato a romanzo certificati affidabili. Quindi, l'applicazione di programmazione dell'interfaccia di crittografia installa automaticamente i nuovi certificati principali affidabili.

    • Un utente accede al computer e visita un sito Web SSL/TLS che è protetto da una fonte attendibile novel.

    • CAPI una radice installata gli aggiornamenti automaticamente. Questo comportamento fa sì che le dimensioni della radice per aumentare o per modificare l'ordine di enumerazione.

    • Si verifica un cambiamento nel codice di ordine di enumerazione di certificati (ad esempio, si installa un hotfix che modifica il codice di archivio di certificati o Modifica tabella di ordinamento).

    • Un utente passa con certificati.

    • Un amministratore installa nuovi certificati nell'archivio principale attendibile.

In questo scenario, l'autenticazione del certificato client non funziona.

Nota: Questo problema si verifica indipendentemente dal valore della voce del Registro di sistema SendTrustedIssuerList . In altre parole, è possibile risolvere questo problema impostando un valore per la voce del Registro di sistema SendTrustedIssuerList . La voce del Registro di sistema SendTrustedIssuerList si trova nella seguente sottochiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Causa

Questo problema si verifica perché nell'elenco di autorità di certificazione principale attendibile viene troncato in modo errato sul lato server. Per impostazione predefinita, il server non invia l'elenco del lato client durante la convalida del certificato client. Pertanto, il troncamento non è obbligatorio.

Risoluzione

Questo hotfix è disponibile anche in .

Informazioni sull'hotfix

Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.

Se l'hotfix è disponibile per il download, vi è una sezione "Hotfix Download disponibile" nella parte superiore di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:

Nota: Il modulo "Hotfix Download disponibile" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.

Prerequisiti

Per applicare questo hotfix, è necessario eseguire Windows 8 o Windows Server 2012.

Informazioni del Registro di sistema

Per utilizzare l'hotfix in questo pacchetto, non è necessario apportare modifiche al Registro di sistema.

Richiesta di riavvio

Dopo avere applicato questo hotfix, è necessario riavviare il computer.

Informazioni sulla sostituzione dell'aggiornamento rapido

Questo hotfix non sostituisce un aggiornamento rapido precedentemente rilasciato.

La versione globale di questo hotfix consente di installare file con gli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.





Note di informazioni file di Windows 8 e Windows Server 2012Importante Aggiornamenti rapidi di Windows 8 e aggiornamenti rapidi di Windows Server 2012 sono inclusi nel pacchetto stesso. Tuttavia, solo "Windows 8" è elencato nella pagina richiesta Hotfix. Per richiedere il pacchetto di hotfix che si applica a uno o entrambi i sistemi operativi, selezionare l'hotfix elencato nella pagina in "Windows 8". Fare sempre riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo a cui si applica ogni aggiornamento rapido .

  • I file relativi a un prodotto, un'attività cardine (RTM, SPn) e un ramo (LDR, GDR specifici) del servizio possono essere identificati esaminando i numeri di versione del file come indicato nella tabella seguente:

    Versione

    Prodotto

    Attività cardine

    Ramo del servizio

    6.2.920 0,20 xxx

    Windows 8 e Windows Server 2012

    RTM

    LDR

  • I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente nella sezione "Ulteriori informazioni sui file per Windows 8 e Windows Server 2012". MUM e file MANIFEST e i file di catalogo (CAT) di protezione associato, sono estremamente importanti per mantenere lo stato dei componenti aggiornati. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.

Per tutte le versioni basate su x86 supportate di Windows 8

Proprietà file

Valore

Nome del file

Schannel.dll

Versione del file

6.2.9200.20810

Dimensione del file

325,632

Data (UTC)

29-Aug-2013

Ora (UTC)

04:11

Piattaforma

x86

Per tutte le versioni basate su x64 di Windows Server 2012 e Windows 8

Proprietà file

Valore

Nome del file

Schannel.dll

Versione del file

6.2.9200.20810

Dimensione del file

416,256

Data (UTC)

29-Aug-2013

Ora (UTC)

05:25

Piattaforma

x64

Nome del file

Schannel.dll

Versione del file

6.2.9200.20810

Dimensione del file

325,632

Data (UTC)

29-Aug-2013

Ora (UTC)

04:11

Piattaforma

x86




Stato

Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".

Ulteriori informazioni

La dimensione massima di un pacchetto TLS che viaggia attraverso la rete è 16 KB. Nel problema descritto in questo articolo, il server crea un elenco di nomi distinti delle autorità di certificazione accettabile nell'elenco Invia al client Se il numero di certificati accettabili è elevato (ad esempio, i certificati più di 300), la dimensione del pacchetto TLS può superare il limite di 16 KB. Di conseguenza, il server Tronca l'elenco su 16 KB per l'invio dell'elenco al client.

Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:

descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft

Ulteriori informazioni sui file per Windows 8 e Windows Server 2012

File aggiuntivi per tutte le versioni basate su x86 supportate di Windows 8

Proprietà file

Valore

Nome del file

X86_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_1f92a99e3f9206f5.manifest

Versione del file

Non applicabile

Dimensione del file

13,286

Data (UTC)

29-Aug-2013

Ora (UTC)

05:00

Piattaforma

Non applicabile

File aggiuntivi per tutte le versioni basate su x64 di Windows Server 2012 e Windows 8 è supportato

Proprietà file

Valore

Nome del file

Amd64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_7bb14521f7ef782b.manifest

Versione del file

Non applicabile

Dimensione del file

13,290

Data (UTC)

29-Aug-2013

Ora (UTC)

06:43

Piattaforma

Non applicabile

Nome del file

Wow64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_8605ef742c503a26.manifest

Versione del file

Non applicabile

Dimensione del file

7,312

Data (UTC)

29-Aug-2013

Ora (UTC)

04:51

Piattaforma

Non applicabile


Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×