Você está offline; aguardando reconexão

Os clientes não podem estabelecer conexões se você exigir certificados de cliente em um site ou se você usar o IAS no Windows Server 2003

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 933430
Importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se de que você saiba como restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de Conhecimento Microsoft:
256986 Descrição do registro do Microsoft Windows
Sintomas
Considere os seguintes cenários.

Cenário 1

  • Você tem um site da Web de Serviços de Informações da Internet da Microsoft (IIS) 6.0 que usa o protocolo Secure Sockets Layer (SSL) para criptografar conexões de cliente.
  • A opção exigir certificados de cliente é selecionada na caixa de diálogo Comunicações de segurança dasNomeDoSite Caixa de diálogo de propriedades.
Nesse cenário, você terá os seguintes sintomas:
  • Clientes não podem se conectar ao site da Web com êxito.
  • O seguinte evento de aviso é registrado no computador baseado no Microsoft Windows Server 2003 que hospeda o site:

    Tipo de evento: aviso
    Origem do evento: Schannel
    Categoria do evento: nenhuma
    Identificação do evento: 36885
    Data: Data
    Tempo: tempo
    Usuário:
    Computador: NOME_DO_COMPUTADOR
    Descrição: quando solicitando autenticação do cliente, o servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente que seja confiável para o servidor. No momento, este servidor confia em tantas autoridades de certificação que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aquelas em que realmente não precisem ser confiadas.

Observação: Por padrão, os eventos de aviso do canal seguro (Schannel) não são registrados. Para obter mais informações sobre como configurar o log de eventos Schannel, consulte a seção "Mais informações".

Cenário 2

Você usar um computador baseado no Microsoft Windows Server 2003 que esteja executando o Microsoft Internet Authentication Service (IAS) para suportar a autenticação para uma rede sem fio. Nesse cenário, você terá os seguintes sintomas:
  • O servidor IAS não pode autenticar com êxito os clientes. Portanto, os computadores cliente sem fio não podem conectar com êxito à rede sem fio.
  • Um evento de aviso semelhante à seguinte é registrado no servidor IAS:

    Tipo de evento: aviso
    Origem do evento: IAS
    Categoria do evento: nenhuma
    Identificação do evento: 2
    Data: Data
    Tempo: tempo
    Usuário:
    Computador: NOME_DO_COMPUTADOR
    Descrição: usuário jsmith@contoso.com teve o acesso negado.
    Totalmente qualificado-usuário-nome = CONTOSOS\jsmithNAS-endereço IP = 10.20.30.40
    NAS-Identifier = WL1234-1
    -Identificador da estação chamada = 0016.462c.1650
    Identificador da estação chamada = 0012.f05b.a795
    Client-Friendly-Name = WL1234-1
    Endereço de IP do cliente = 10.20.30.40
    NAS-Port-Type = Wireless - IEEE 802.11
    NAS-Port = nome da diretiva de 10037Proxy = usar autenticação do Windows para todos os usuários
    Provedor de autenticação = Windows
    Servidor de autenticação = <undetermined>
    Nome da diretiva = diretiva de acesso de rede sem fio
    Tipo de autenticação = EAP
    Tipo EAP = cartão inteligente ou outro certificado
    Código de motivo = 266
    Motivo = a mensagem recebida foi inesperada ou formatada incorretamente.
    Para obter mais informações, consulte o Centro de Ajuda e suporte em http://go.microsoft.com/fwlink/events.asp.
    Dados: 0000: 26 03 09 80 &...?</undetermined>

  • Um evento que se parece com o seguinte evento de aviso pode ser registrado no servidor IAS:

    Tipo de evento: aviso
    Origem do evento: Schannel
    Categoria do evento: nenhuma
    Identificação do evento: 36885
    Data: Data
    Tempo: tempo
    Usuário:
    Computador: NOME_DO_COMPUTADOR
    Descrição: quando solicitando autenticação do cliente, o servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente que seja confiável para o servidor. No momento, este servidor confia em tantas autoridades de certificação que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aquelas em que realmente não precisem ser confiadas.

Observação: Por padrão, os eventos de aviso do canal seguro (Schannel) não são registrados. Para obter mais informações sobre como configurar o log de eventos Schannel, consulte a seção "Mais informações".
Causa
Esse problema pode ocorrer se o servidor Web ou o servidor IAS contém muitas entradas na lista de certificação de raiz confiável. O servidor envia uma lista de autoridades de certificação confiáveis para o cliente se as seguintes condições forem verdadeiras:
  • O servidor usa a segurança de camada de transporte (TLS) / protocolo SSL para criptografar o tráfego de rede.
  • Os certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.
Esta lista de autoridades de certificação confiáveis representa as autoridades do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente deve ter um certificado que está presente na cadeia de certificados a um certificado raiz de lista do servidor.

Atualmente, o tamanho máximo da lista de autoridades de certificação confiáveis que ofereça suporte a pacote de segurança Schannel é 12,228 (0x3000) bytes.

Schannel cria a lista de autoridades de certificação confiáveis pesquisando o armazenamento de autoridades de certificação raiz confiáveis no computador local. Cada certificado é confiável para fins de autenticação de cliente é adicionado à lista. Se o tamanho dessa lista exceder 12,228 bytes, Schannel registra o ID de evento de aviso 36885. Em seguida, o Schannel trunca a lista de certificados raiz confiáveis e envia essa lista truncada no computador cliente.

Quando o computador cliente recebe a lista truncada de certificados raiz confiáveis, o computador cliente não pode ter um certificado que exista na cadeia de um emissor de certificados confiáveis. Por exemplo, o computador cliente pode ter um certificado que corresponda a um certificado raiz confiável que Schannel truncou da lista de autoridades de certificação confiáveis. Portanto, o servidor IAS não pode autenticar o cliente.

O hotfix aumenta o buffer de segurança Schannel para 16K. Se você exceder esse limite, você ainda terá problemas que estão descritos na seção Sintomas deste artigo.Essa alteração também foi incluída no Windows Server 2008 e no Windows Server 2008 R2.As soluções alternativas descritas a seguir serão aplicadas também para o Windows Server 2008 e Windows Server 2008 R2.


Resolução

Informações sobre o hotfix

Um hotfix suportado está disponível agora na Microsoft. No entanto, destina-se a corrigir somente o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico. Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde o próximo service pack do Windows Server 2003 que contém esse hotfix.

Para resolver esse problema imediatamente, contate o Atendimento Microsoft para obter o hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e informações sobre custos de suporte, visite o seguinte site da Microsoft:Observação Em alguns casos, as taxas cobradas para chamadas de suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados para questões de suporte adicionais e problemas que não se qualificam à atualização específica em questão.

Pré-requisitos

Para aplicar esse hotfix, você deve ter o Windows Server 2003 Service Pack 1 (SP1) ou o Windows Server 2003 Service Pack 2 (SP2) instalado no computador.Para obter mais informações sobre como obter o service pack mais recente para o Windows Server 2003, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
889100 Como obter o service pack mais recente para o Windows Server 2003

Requisitos de reinicialização

Você precisa reiniciar o computador após aplicar esse hotfix.

Informações de substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix possui os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas na Hora Universal Coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para localizar a diferença entre o UTC e a hora local, use a guia Fuso Horário no item Data e Hora no Painel de Controle.
Windows Server 2003, versões baseadas em x86 com SP1
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Schannel. dll5.2.3790.2971144,89610 de julho de 200717:27x86
Windows Server 2003, versões baseadas em x86 com SP2
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataforma
Schannel. dll5.2.3790.4115147,45610 de julho de 200717:51x86
Windows Server 2003, versões baseadas em x64 com SP1
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataformaRamificação do serviço
Schannel. dll5.2.3790.2971254,46410 de julho de 200703:15x64Não aplicável
Wschannel.dll5.2.3790.2971144,89610 de julho de 200703:15x86WOW
Windows Server 2003, versões baseadas em x64 com SP2
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataformaRamificação do serviço
Schannel. dll5.2.3790.2971254,46410 de julho de 200703:15x64Não aplicável
Wschannel.dll5.2.3790.2971144,89610 de julho de 200703:15x86WOW
Windows Server 2003, versões baseadas em Itanium com SP1
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataformaRamificação do serviço
Schannel. dll5.2.3790.2971466,43210 de julho de 200703:16IA-64Não aplicável
Wschannel.dll5.2.3790.2971144,89610 de julho de 200703:16x86WOW
Windows Server 2003, versões baseadas no Itanium com SP2
Nome do ArquivoVersão do arquivoTamanho do arquivoDataHoraPlataformaRamificação do serviço
Schannel. dll5.2.3790.4115466,43210 de julho de 200703:24IA-64Não aplicável
Wschannel.dll5.2.3790.4115147,45610 de julho de 200703:24x86WOW
Como Contornar
Para contornar esse problema, use um dos seguintes métodos, conforme apropriado para sua situação.

Método 1: Remover alguns certificados raiz confiáveis

Se alguns dos certificados raiz confiáveis não são usados no seu ambiente, remova-os do servidor Web ou do servidor IAS. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar, Executar, tipo MMCe, em seguida, clique em OK.
  2. No menu arquivo , clique em Adicionar/Remover Snap-ine, em seguida, clique em Adicionar.
  3. Na caixa de diálogo Adicionar Snap-in autônomo , clique em certificadose, em seguida, clique em Adicionar.
  4. Clique em conta de computador, clique em Avançare, em seguida, clique em Concluir.
  5. Clique em Fechare, em seguida, clique em OK.
  6. Na Raiz do Console do snap-in Microsoft Management Console (MMC), expanda certificados (computador Local), expanda Autoridades de certificação raiz confiáveise, em seguida, clique em certificados.
  7. Remova certificados raiz confiáveis que você não precisa ter. Para fazer isso, clique em um certificado, clique em Excluire, em seguida, clique em Sim para confirmar a remoção do certificado.
Observação: Existem alguns certificados raiz que são exigidos pelo Windows. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Conhecimento Microsoft:
293781 Certificados raiz confiáveis necessários pelo Windows Server 2003, Windows XP e Windows 2000

Método 2: Configurar a diretiva de grupo para ignorar a lista de autoridades de certificação confiáveis no computador local

Se o servidor IAS ou o servidor Web for membro de um domínio, você pode criar uma diretiva para fazer com que o servidor ignore a lista de autoridades de certificação confiáveis no computador local. Quando você aplicar esta diretiva, os clientes e servidores afetados confia apenas certificados no armazenamento de autoridades de certificação raiz corporativa. Portanto, você não precisa modificar os computadores individuais.

Observação: Esse método funciona somente se todos os computadores cliente forem do mesmo domínio de serviço de diretório do Active Directory ou floresta do Active Directory. Diretiva de grupo não é aplicada a computadores que não estão na mesma floresta do Active Directory.

Para criar esta diretiva, execute estas etapas.

Etapa 1: Criar um objeto de diretiva de grupo

  1. Logon em um controlador de domínio e, em seguida, inicie a ferramenta Active Directory Users and Computers. Para fazer isso, clique em Iniciar, clique em Executar, tipo DSA. msce, em seguida, clique em OK.
  2. Clique com botão direito no recipiente no qual você deseja configurar o objeto de diretiva de grupo e, em seguida, clique em Propriedades. Por exemplo, com o botão direito no recipiente de domínio ou em um recipiente de unidade organizacional.
  3. Clique na guia Diretiva de grupo e, em seguida, clique em novo.
  4. Digite um nome descritivo para a diretiva e, em seguida, pressione ENTER.
  5. Clique em Editar para iniciar o Editor de objeto de diretiva de grupo.
  6. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurançae, em seguida, clique em Diretivas de chave pública.
  7. Clique em Autoridades de certificação raiz confiáveise, em seguida, clique em Propriedades.
  8. Clique em Autoridades de certificação raiz corporativae, em seguida, clique em OK.
  9. Saia do Editor de objeto de diretiva de grupo.
  10. Clique em OK para fechar aObjectName Caixa de diálogo de propriedades.

Etapa 2: Adicionar certificados raiz ao armazenamento de certificados "Trusted Root Certification Authorities"

  1. Exporte todos os certificados raiz necessários do armazenamento de computador local de servidor apropriado. Isso inclui certificados raiz de autoridades de certificação interna (CAs) e certificados raiz de autoridades de certificação públicas que sua organização necessita.
  2. Logon em um controlador de domínio e, em seguida, inicie a ferramenta Active Directory Users and Computers.
  3. Clique com botão direito no recipiente que contém o objeto de diretiva de grupo que você criou a "etapa 1: criar um GPO" seção e, em seguida, clique em Propriedades.
  4. Clique na guia Diretiva de grupo , clique no objeto de diretiva de grupo e, em seguida, clique em Editar.
  5. Expanda Configuração do computador, expanda Configurações do Windows, expanda Configurações de segurançae, em seguida, clique em Diretivas de chave pública.
  6. Clique com botão direito Raiz autoridades de certificação confiáveis 'e, em seguida, clique em Importar.
  7. Siga as etapas no Assistente para importação de certificados para importar o certificado raiz ou os certificados que você exportou na etapa 2a.
  8. Saia do Editor de objeto de diretiva de grupo.
  9. Clique em OK para fechar aObjectName Caixa de diálogo de propriedades.
Observação: Existem alguns certificados raiz que são exigidos pelo Windows. Você deve adicionar esses certificados na diretiva que você criou. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Conhecimento Microsoft:
293781 Certificados raiz confiáveis necessários pelo Windows Server 2003, Windows XP e Windows 2000

Método 3: Configurar Schannel para não enviar a lista de autoridades de certificação raiz confiável durante o processo de handshake do TLS/SSL

Aviso Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.

No servidor que está executando o IIS ou o servidor IAS em que você enfrentar esse problema, configure a seguinte entrada do registro como false:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL


Nome do valor: SendTrustedIssuerList
Tipo do valor: REG_DWORD
Dados do valor: 0 (FALSO)
Por padrão, essa entrada não estiver listada no registro. Por padrão, esse valor é 1 (verdadeiro). Essa entrada do registro controla o sinalizador que controla se o servidor envia uma lista de autoridades de certificação confiáveis ao cliente. Quando você definir essa entrada do registro como False, o servidor não envia uma lista de autoridades de certificação confiáveis ao cliente. Esse comportamento pode afetar como o cliente responde a uma solicitação para um certificado. Por exemplo, se o Internet Explorer recebe uma solicitação de autenticação de cliente, o Internet Explorer exibe apenas os certificados de cliente que aparecem na cadeia de uma das autoridades de certificação que estão na lista do servidor. No entanto, se o servidor não envia uma lista de autoridades de certificação confiáveis, o Internet Explorer exibirá todos os certificados de cliente instalados no computador cliente.

Para definir essa entrada do registro, execute essas etapas:
  1. Clique em Iniciar, Executar, tipo Regedite, em seguida, clique em OK.
  2. Localize e clique na seguinte subchave do registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. No menu Editar , aponte para novo e, em seguida, clique em Valor DWORD.
  4. Tipo SendTrustedIssuerList, e então pressione ENTER para nomear a entrada do registro.
  5. Clique com o botão SendTrustedIssuerListe, em seguida, clique em Modificar.
  6. Na caixa dados do valor , digite 0 Se o valor não é exibida e, em seguida, clique em OK.
  7. Saia do Editor do Registro.
Para obter mais informações sobre a entrada de registro SCHANNEL, visite o seguinte site da Microsoft:
Situação
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais Informações
Windows Server 2003 foi desenvolvido para examinar automaticamente a lista de autoridades de certificação confiáveis no site do Microsoft Windows Update na Web, quando você atualizar certificados raiz. Em seguida, o Windows instala o certificado raiz apropriado depois que o certificado é validado pelo programa do usuário.

Observação: No Windows Server 2003, a lista de autoridades de certificação não pode exceder 12,228 (0x3000) bytes. Quando você atualizar certificados raiz, a lista de autoridades de certificação confiáveis pode aumentar significativamente. Portanto, a lista pode ser muito longa. Nesse caso, o Windows trunca a lista. Esse comportamento pode causar problemas com autorização. Nesse cenário, você pode enfrentar o problema descrito na seção "Sintomas".

Como configurar o log de eventos Schannel

Aviso Problemas sérios podem ocorrer se você modificar o Registro incorretamente usando o Editor do registro ou usando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.

Para configurar o Schannel para registrar eventos de aviso no log do sistema, defina a seguinte entrada do registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\Schannel


Nome do valor: EventLogging
Tipo do valor: REG_DWORD
Dados do valor: 0x3
Observação: Um valor de 0x3 configura Schannel para registrar em log os eventos de aviso e eventos de erro.

Para obter mais informações sobre como configurar o log de eventos Schannel, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
260729 Como ativar o log no IIS de eventos Schannel
Referências
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Conhecimento Microsoft:
931125 Membros do programa de certificado raiz Microsoft (janeiro de 2007)
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Base de Conhecimento Microsoft:
814394 Requisitos de certificado quando você usar o EAP-TLS ou PEAP com EAP-TLS

Propriedades

ID do Artigo: 933430 - Última Revisão: 03/15/2015 07:27:00 - Revisão: 4.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbautohotfix kbeventlog kbtshoot kberrmsg kbprb kbHotfixServer kbmt KB933430 KbMtpt
Comentários
ocument.write(" =document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> te("