Objawy
Rozważ następujący scenariusz:
-
Uwierzytelniania certyfikatów klientów Secure Sockets Layer / Transport Layer Security (SSL/TLS) można użyć na komputerze z systemem Windows 8 lub systemu Windows Server 2012.
-
Pozornie niezwiązanych uwierzytelnianie certyfikatu klienta SSL/TLS jest wykonywana. Jednak operacja powoduje magazynu zaufanego certyfikatu głównego przekracza limit 16 kilobajtów (KB). Na przykład jedną z następujących czynności wykonywane:
-
W sesji zdalnej użytkownik nieuwierzytelniony sondy serwera punktu końcowego SSL przy użyciu certyfikatu klienta, że łańcuchy powieść zaufanych katalogów głównych. Następnie kryptograficznych aplikacji Programming Interface (CAPI) instaluje powieść zaufanych urzędów głównych automatycznie.
-
Użytkownik loguje się do komputera i przegląda witryny sieci Web protokołu SSL/TLS, która jest zabezpieczona przez powieść zaufanego głównego.
-
CAPI automatycznie aktualizuje istniejący zainstalowany katalog główny. To zachowanie powoduje, że rozmiar katalogu głównego, aby zwiększyć lub aby zmienić kolejność wyliczania.
-
Nastąpi zmiana kod zamówienia wyliczenie certyfikatu (na przykład zainstalować poprawkę, która zmiany kodu magazynu certyfikatów lub zmiana sortowania tabel).
-
Użytkownik przełącza za pomocą certyfikatów.
-
Administrator instaluje nowe certyfikaty do magazynu zaufanego certyfikatu głównego.
-
W tym scenariuszu uwierzytelnianie certyfikatu klienta nie jest już działa.
Uwaga Ten problem występuje niezależnie od wartości wpisu rejestru SendTrustedIssuerList . Innymi słowy nie można rozwiązać ten problem, ustawiając wartość wpisu rejestru SendTrustedIssuerList . Wpis rejestru SendTrustedIssuerList znajduje się w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Przyczyna
Ten problem występuje, ponieważ listy urzędów certyfikacji zaufanego głównego jest obcinana niepoprawnie po stronie serwera. Domyślnie serwer nie wysyła listę na komputerach klienckich podczas sprawdzania poprawności certyfikatu klienta. W związku z tym obcinania nie jest wymagane.
Rozwiązanie
Ta poprawka jest również dostępna w Wykazu usługi Microsoft Update.
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tylko w systemach, których dotyczy ten problem, należy zastosować tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, należy przesłać żądanie do centrum obsługi klienta firmy Microsoft i obsługi technicznej w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następujące witryny firmy Microsoft:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Aby zastosować tę poprawkę, zostanie uruchomiony Windows 8 lub systemu Windows Server 2012.
Informacje dotyczące rejestru
Aby użyć poprawki w tym pakiecie, nie trzeba wprowadzać żadnych zmian w rejestrze.
Wymagania dotyczące ponownego uruchomienia
Po zastosowaniu tej poprawki należy ponownie uruchomić komputer.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje wcześniej wydanej poprawki.
Wersja globalna tej poprawki instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom są podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Daty i godziny odpowiadające tym plikom na komputerze lokalnym są wyświetlane w formacie czasu lokalnego, wraz z Twoim bieżącym bias czasu letniego (DST). Dodatkowo, daty mogą ulec zmianie podczas wykonywania pewnych operacji na plikach.
Informacje o plikach w systemie Windows 8 i Windows Server 2012Ważne Poprawki systemu Windows 8 i Windows Server 2012 są zawarte w tych samych opakowaniach. Jednak tylko „Windows 8” znajduje się na stronie żądania poprawki. Aby zażądać pakietu poprawek, który dotyczy jednego lub obu systemów operacyjnych, wybierz poprawkę, która jest wyświetlana w obszarze „Windows 8” na stronie. Zawsze sprawdzaj w sekcji „Stosuje się do”, do jakiego systemu operacyjnego dotyczy każda z poprawek.
-
Pliki dotyczące określonego produktu, etapu rozwoju (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
Wersja
Produkt
Kamień milowy
Składnik usługi
6.2.920 0,20 xxx
Windows 8 i Windows Server 2012
RTM
LDR
-
Pliki MANIFESTU (.manifest) i pliki MUM (.mum) instalowane są dla każdego środowiska są wymienione osobno w sekcji "Informacje o dodatkowych plikach dla systemu Windows 8 i Windows Server 2012". Pliki MUM i pliki MANIFESTU oraz skojarzone pliki z wykazu zabezpieczeń (.cat), są bardzo ważne, aby utrzymać stan zaktualizowanych składników. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
Dla wszystkich obsługiwanych wersji x86 systemu Windows 8
|
Właściwości pliku |
Wartość |
|---|---|
|
Nazwa pliku |
Schannel.dll |
|
Wersja pliku |
6.2.9200.20810 |
|
Rozmiar pliku |
325,632 |
|
Data (UTC) |
29-Aug-2013 |
|
Godzina (UTC) |
04:11 |
|
Platforma |
x86 |
Dla wszystkich obsługiwanych wersji x64 systemu Windows 8 i Windows Server 2012
|
Właściwości pliku |
Wartość |
|---|---|
|
Nazwa pliku |
Schannel.dll |
|
Wersja pliku |
6.2.9200.20810 |
|
Rozmiar pliku |
416,256 |
|
Data (UTC) |
29-Aug-2013 |
|
Godzina (UTC) |
05:25 |
|
Platforma |
x64 |
|
Nazwa pliku |
Schannel.dll |
|
Wersja pliku |
6.2.9200.20810 |
|
Rozmiar pliku |
325,632 |
|
Data (UTC) |
29-Aug-2013 |
|
Godzina (UTC) |
04:11 |
|
Platforma |
x86 |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Maksymalny rozmiar pakietów protokołu TLS, przesyłane przez sieć wynosi 16 KB. Problem opisany w tym artykule serwer tworzy listę nazw wyróżniających urzędów certyfikacji dopuszczalne, a następnie wysyła klientowi listę. Jeśli liczba certyfikatów, dopuszczalne jest duży (na przykład certyfikaty ponad 300), rozmiar pakietu TLS może przekroczyć limit 16 KB. W związku z tym serwer obcina listy do 16 KB do wysłania do klienta na liście.
Aby uzyskać więcej informacji dotyczących terminologii aktualizacji oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
Informacje o dodatkowych plikach dla systemu Windows 8 i Windows Server 2012
Dodatkowe pliki dla wszystkich obsługiwanych wersji x86 systemu Windows 8
|
Właściwości pliku |
Wartość |
|---|---|
|
Nazwa pliku |
X86_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_1f92a99e3f9206f5.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
13,286 |
|
Data (UTC) |
29-Aug-2013 |
|
Godzina (UTC) |
05:00 |
|
Platforma |
Nie dotyczy |
Dodatkowe pliki dla wszystkich obsługiwanych wersji x 64 systemu Windows 8 i Windows Server 2012
|
Właściwości pliku |
Wartość |
|---|---|
|
Nazwa pliku |
Amd64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_7bb14521f7ef782b.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
13,290 |
|
Data (UTC) |
29-Aug-2013 |
|
Godzina (UTC) |
06:43 |
|
Platforma |
Nie dotyczy |
|
Nazwa pliku |
Wow64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_8605ef742c503a26.manifest |
|
Wersja pliku |
Nie dotyczy |
|
Rozmiar pliku |
7,312 |
|
Data (UTC) |
29-Aug-2013 |
|
Godzina (UTC) |
04:51 |
|
Platforma |
Nie dotyczy |
