Não é possível autenticar clientes com um servidor após você obter um novo certificado para substituir um certificado expirado no servidor

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 822406
Sintomas
Depois de substituir um certificado expirado com um novo certificado em um servidor que esteja executando o serviço de autenticação do Microsoft Internet (IAS) ou roteamento e acesso remoto, os clientes que têm Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) configurado para verificar que o certificado do servidor não pode autenticar com o servidor. Quando você visualizar o log do sistema em Visualizar eventos no computador cliente, o seguinte evento é exibido:

Tipo de evento: erro
Origem do evento: Schannel
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 36876
Date: date
Time: time
User: N/A
Computador: computername
Descrição: O certificado recebido do servidor remoto não foi validado corretamente. O código de erro é 0x80090328.

Se você habilitar o log detalhado no servidor que esteja executando o IAS ou roteamento e acesso remoto (por exemplo, por que executam o netsh ras set tracing * habilitar comando), informação semelhante à seguinte é exibida no arquivo Rastls.log que é gerado quando um cliente tenta autenticar.

Observação Se você estiver usando o IAS como seu servidor RADIUS para autenticação, você verá esse comportamento no servidor IAS. Se você estiver usando o roteamento e acesso remoto e roteamento e acesso remoto é configurado para autenticação do Windows (não a autenticação de RADIUS), você verá esse comportamento no servidor de roteamento e acesso remoto.
1072] 15:47:57:280: CRYPT_E_NO_REVOCATION_CHECK will not be ignored[1072] 15:47:57:280: CRYPT_E_REVOCATION_OFFLINE will not be ignored[1072] 15:47:57:280: The root cert will not be checked for revocation[1072] 15:47:57:280: The cert will be checked for revocation[1072] 15:47:57:280: [1072] 15:47:57:280: EapTlsMakeMessage(Example\client)[1072] 15:47:57:280: >> Received Response (Code: 2) packet: Id: 11, Length: 25, Type: 0, TLS blob length: 0. Flags: [1072] 15:47:57:280: EapTlsSMakeMessage[1072] 15:47:57:280: EapTlsReset[1072] 15:47:57:280: State change to Initial[1072] 15:47:57:280: GetCredentials[1072] 15:47:57:280: The name in the certificate is: server.example.com[1072] 15:47:57:312: BuildPacket[1072] 15:47:57:312: << Sending Request (Code: 1) packet: Id: 12, Length: 6, Type: 13, TLS blob length: 0. Flags: S[1072] 15:47:57:312: State change to SentStart[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:312: [1072] 15:47:57:312: EapTlsEnd(Example\client)[1072] 15:47:57:452: [1072] 15:47:57:452: EapTlsMakeMessage(Example\client)[1072] 15:47:57:452: >> Received Response (Code: 2) packet: Id: 12, Length: 80, Type: 13, TLS blob length: 70. Flags: L[1072] 15:47:57:452: EapTlsSMakeMessage[1072] 15:47:57:452: MakeReplyMessage[1072] 15:47:57:452: Reallocating input TLS blob buffer[1072] 15:47:57:452: SecurityContextFunction[1072] 15:47:57:671: State change to SentHello[1072] 15:47:57:671: BuildPacket[1072] 15:47:57:671: << Sending Request (Code: 1) packet: Id: 13, Length: 1498, Type: 13, TLS blob length: 3874. Flags: LM[1072] 15:47:57:702: [1072] 15:47:57:702: EapTlsMakeMessage(Example\client)[1072] 15:47:57:702: >> Received Response (Code: 2) packet: Id: 13, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:702: EapTlsSMakeMessage[1072] 15:47:57:702: BuildPacket[1072] 15:47:57:702: << Sending Request (Code: 1) packet: Id: 14, Length: 1498, Type: 13, TLS blob length: 0. Flags: M[1072] 15:47:57:718: [1072] 15:47:57:718: EapTlsMakeMessage(Example\client)[1072] 15:47:57:718: >> Received Response (Code: 2) packet: Id: 14, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:47:57:718: EapTlsSMakeMessage[1072] 15:47:57:718: BuildPacket[1072] 15:47:57:718: << Sending Request (Code: 1) packet: Id: 15, Length: 900, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: [1072] 15:48:12:905: EapTlsMakeMessage(Example\client)[1072] 15:48:12:905: >> Received Response (Code: 2) packet: Id: 15, Length: 6, Type: 13, TLS blob length: 0. Flags: [1072] 15:48:12:905: EapTlsSMakeMessage[1072] 15:48:12:905: MakeReplyMessage[1072] 15:48:12:905: SecurityContextFunction[1072] 15:48:12:905: State change to SentFinished. Error: 0x80090318[1072] 15:48:12:905: Negotiation unsuccessful[1072] 15:48:12:905: BuildPacket[1072] 15:48:12:905: << Sending Failure (Code: 4) packet: Id: 15, Length: 4, Type: 0, TLS blob le
Causa
Esse problema pode ocorrer se todas as seguintes condições forem verdadeiras:
  • O servidor IAS ou roteamento e acesso remoto é um membro do domínio, mas a funcionalidade de solicitações automáticas de certificado (registro automático) não está configurada no domínio. Ou, o servidor IAS ou roteamento e acesso remoto não é um membro do domínio.
  • Você solicita e recebe um novo certificado para o servidor IAS ou roteamento e acesso remoto manualmente.
  • Você não remover o certificado expirado do servidor IAS ou roteamento e acesso remoto.
Se um certificado expirado estiver presente no servidor IAS ou roteamento e acesso remoto juntamente com um novo certificado válido, autenticação de cliente não terá êxito. O resultado de "Erro 0x80090328" é exibido no log de eventos no computador cliente corresponde à "Expirado certificado."
Como Contornar
Para contornar esse problema, remova o certificado (arquivado) expirou. Para fazer isso, execute as seguintes etapas:
  1. Abra o snap-in Microsoft Management Console (MMC) onde você gerenciar o armazenamento de certificados no servidor IAS. Se você ainda não tiver um snap-in do MMC para exibir o armazenamento de certificado do, crie um. Para fazer isso:
    1. Clique em Iniciar , clique em Executar , digite mmc na caixa Abrir e, em seguida, clique em OK .
    2. No menu console (menu arquivo no Windows Server 2003), clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
    3. Na lista snap-ins autônomos disponíveis , clique em certificados , clique em Adicionar , clique em conta de computador , clique em Avançar e em seguida, clique em Concluir .

      Observação Você também pode adicionar o snap-in de certificados para a conta de usuário e para a conta de serviço para este snap-in MMC.
    4. Clique em Fechar e, em seguida, clique em OK .
  2. Na Raiz do console , clique em certificados (computador local) .
  3. No menu Exibir , clique em Opções .
  4. Clique para selecionar a caixa de seleção certificados arquivados e, em seguida, clique em OK .
  5. Expanda pessoal e em seguida, clique em certificados .
  6. Clique o certificado digital (arquivado) expirado com o botão direito do mouse, clique em Excluir e clique em Sim para confirmar a remoção do certificado expirado.
  7. Feche o snap-in do MMC. Não é necessário reiniciar o computador ou os serviços para concluir este procedimento.
Mais Informações
A Microsoft recomenda que você configure solicitações automáticas de certificado para renovar certificados digitais na organização. Para obter informações adicionais sobre o registro automático de certificados no Windows XP, visite o seguinte site:

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 822406 - Última Revisão: 11/02/2007 07:41:39 - Revisão: 7.3

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows 2000 Datacenter Server

  • kbmt kbprb kbpending kbbug KB822406 KbMtpt
Comentários