Les clients ne peuvent pas s’authentifier auprès d’un serveur après avoir obtenu un nouveau certificat pour remplacer un certificat expiré sur le serveur
Cet article fournit une solution à un problème où les clients ne peuvent pas s’authentifier auprès d’un serveur après avoir obtenu un nouveau certificat pour remplacer un certificat expiré sur le serveur.
Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 822406
Symptômes
Une fois que vous avez remplacé un certificat expiré par un nouveau certificat sur un serveur qui exécute le service d’authentification Microsoft Internet (IAS) ou le routage et l’accès à distance, les clients pour lesquels l’authentification extensible Protocol-Transport Layer Security (EAP-TLS) est configurée pour vérifier que le certificat du serveur ne peut plus s’authentifier auprès du serveur. Lorsque vous affichez le journal système observateur d'événements sur l’ordinateur client, l’événement suivant s’affiche.
Si vous activez la journalisation détaillée sur le serveur qui exécute IAS ou le routage et l’accès à distance (par exemple, en exécutant la netsh ras set tracing * enable commande ), des informations similaires à celles qui suivent s’affichent dans le fichier Rastls.log généré lorsqu’un client tente de s’authentifier.
Remarque
Si vous utilisez IAS comme serveur Radius pour l’authentification, vous voyez ce comportement sur le serveur IAS. Si vous utilisez routage et accès à distance, et que le routage et l’accès à distance sont configurés pour l’authentification Windows (et non l’authentification Radius), vous voyez ce comportement sur le serveur routage et accès à distance.
[1072] 15 :47 :57 :280 : CRYPT_E_NO_REVOCATION_CHECK ne seront pas ignorées
[1072] 15 :47 :57 :280 : CRYPT_E_REVOCATION_OFFLINE ne sera pas ignorée
[1072] 15 :47 :57 :280 : Le certificat racine ne sera pas vérifié pour la révocation
[1072] 15 :47 :57 :280 : Le certificat sera vérifié pour la révocation
[1072] 15:47:57:280:
[1072] 15 :47 :57 :280 : EapTlsMakeMessage(Example\client)
[1072] 15 :47 :57 :280 : >> Réponse reçue (code : 2) paquet : ID : 11, Longueur : 25, Type : 0, Longueur de l’objet blob TLS : 0. Drapeaux:
[1072] 15 :47 :57 :280 : EapTlsSMakeMessage
[1072] 15 :47 :57 :280 : EapTlsReset
[1072] 15 :47 :57 :280 : Changement d’état en Initial
[1072] 15 :47 :57 :280 : GetCredentials
[1072] 15 :47 :57 :280 : Le nom du certificat est : server.example.com
[1072] 15 :47 :57 :312 : BuildPacket
[1072] 15 :47 :57 :312 : << Envoi de la demande (code : 1) paquet : ID : 12, Longueur : 6, Type : 13, Longueur de l’objet blob TLS : 0. Indicateurs : S
[1072] 15 :47 :57 :312 : Changement d’état sur SentStart
[1072] 15:47:57:312:
[1072] 15 :47 :57 :312 : EapTlsEnd(Example\client)
[1072] 15:47:57:312:
[1072] 15 :47 :57 :312 : EapTlsEnd(Example\client)
[1072] 15:47:57:452:
[1072] 15 :47 :57 :452 : EapTlsMakeMessage(Example\client)
[1072] 15 :47 :57 :452 : >> Réponse reçue (code : 2) paquet : Id : 12, Longueur : 80, Type : 13, Longueur de l’objet blob TLS : 70. Indicateurs : L
[1072] 15 :47 :57 :452 : EapTlsSMakeMessage
[1072] 15 :47 :57 :452 : MakeReplyMessage
[1072] 15 :47 :57 :452 : Réallouer la mémoire tampon d’objet blob TLS d’entrée
[1072] 15 :47 :57 :452 : SecurityContextFunction
[1072] 15 :47 :57 :671 : Changement d’état en SentHello
[1072] 15 :47 :57 :671 : BuildPacket
[1072] 15 :47 :57 :671 : << Envoi de la demande (code : 1) paquet : ID : 13, Longueur : 1498, Type : 13, Longueur de l’objet blob TLS : 3874. Indicateurs : LM
[1072] 15:47:57:702:
[1072] 15 :47 :57 :702 : EapTlsMakeMessage(Example\client)
[1072] 15 :47 :57 :702 : >> Réponse reçue (code : 2) paquet : Id : 13, Longueur : 6, Type : 13, Longueur de l’objet blob TLS : 0. Drapeaux:
[1072] 15 :47 :57 :702 : EapTlsSMakeMessage
[1072] 15 :47 :57 :702 : BuildPacket
[1072] 15 :47 :57 :702 : << Envoi de la demande (code : 1) paquet : ID : 14, Longueur : 1498, Type : 13, Longueur de l’objet blob TLS : 0. Indicateurs : M
[1072] 15:47:57:718:
[1072] 15 :47 :57 :718 : EapTlsMakeMessage(Example\client)
[1072] 15 :47 :57 :718 : >> Réponse reçue (code : 2) paquet : ID : 14, Longueur : 6, Type : 13, Longueur de l’objet blob TLS : 0. Drapeaux:
[1072] 15 :47 :57 :718 : EapTlsSMakeMessage
[1072] 15 :47 :57 :718 : BuildPacket
[1072] 15 :47 :57 :718 : << Envoi de la demande (Code : 1) paquet : ID : 15, Longueur : 900, Type : 13, Longueur de l’objet blob TLS : 0. Drapeaux:
[1072] 15:48:12:905:
[1072] 15 :48 :12 :905 : EapTlsMakeMessage(Example\client)
[1072] 15 :48 :12 :905 : >> Réponse reçue (code : 2) paquet : ID : 15, Longueur : 6, Type : 13, Longueur de l’objet blob TLS : 0. Drapeaux:
[1072] 15 :48 :12 :905 : EapTlsSMakeMessage
[1072] 15 :48 :12 :905 : MakeReplyMessage
[1072] 15 :48 :12 :905 : SecurityContextFunction
[1072] 15 :48 :12 :905 : Changement d’état sur SentFinished. Erreur : 0x80090318
[1072] 15 :48 :12 :905 : Échec de la négociation
[1072] 15 :48 :12 :905 : BuildPacket
[1072] 15 :48 :12 :905 : << Échec d’envoi (code : 4) paquet : ID : 15, Longueur : 4, Type : 0, objet blob TLS le
Cause
Ce problème peut se produire si toutes les conditions suivantes sont remplies :
- Le serveur IAS ou Routage et accès à distance est membre du domaine, mais la fonctionnalité de demande de certificat automatique (inscription automatique) n’est pas configurée dans le domaine. Ou bien, le serveur IAS ou routage et accès à distance n’est pas un membre de domaine.
- Vous demandez et recevez manuellement un nouveau certificat pour le serveur IAS ou Routage et accès à distance.
- Vous ne supprimez pas le certificat expiré du serveur IAS ou routage et accès à distance. Si un certificat expiré est présent sur le serveur IAS ou routage et accès à distance avec un nouveau certificat valide, l’authentification du client échoue. Le résultat « Erreur 0x80090328 » affiché dans le journal des événements sur l’ordinateur client correspond à « Certificat expiré ».
Solution de contournement
Pour contourner ce problème, supprimez le certificat (archivé) expiré. Pour ce faire, procédez comme suit :
- Ouvrez le composant logiciel enfichable MMC (Microsoft Management Console) où vous gérez le magasin de certificats sur le serveur IAS. Si vous n’avez pas encore de composant logiciel enfichable MMC à partir duquel afficher le magasin de certificats, créez-en un. Pour ce faire, procédez comme suit :
Sélectionnez Démarrer, Exécuter, tapez mmc dans la zone Ouvrir , puis sélectionnez OK.
Dans le menu Console (menu Fichier dans Windows Server 2003), sélectionnez Ajouter/Supprimer un composant logiciel enfichable, puis Ajouter.
Dans la liste Composants logiciels enfichables autonomes disponibles , sélectionnez Certificats, Ajouter, Compte d’ordinateur, Suivant, puis Terminer.
Remarque
Vous pouvez également ajouter le composant logiciel enfichable Certificats pour le compte d’utilisateur et pour le compte de service à ce composant logiciel enfichable MMC.
Sélectionnez Fermer puis OK.
- Sous Racine de la console, sélectionnez Certificats (ordinateur local) .
- Dans le menu Affichage , sélectionnez Options.
- Cliquez pour sélectionner la zone Certificats archivés case activée, puis sélectionnez OK.
- Développez Personnel, puis sélectionnez Certificats.
- Cliquez avec le bouton droit sur le certificat numérique expiré (archivé), sélectionnez Supprimer, puis Oui pour confirmer la suppression du certificat expiré.
- Quittez le composant logiciel enfichable MMC. Vous n’avez pas besoin de redémarrer l’ordinateur ou les services pour effectuer cette procédure.
Plus d’informations
Microsoft vous recommande de configurer les demandes de certificat automatiques pour renouveler les certificats numériques dans votre organization. Pour plus d’informations, consultez Inscription automatique des certificats dans Windows XP
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour