Problemas de comunicação de SSL/TLS, depois de instalar o KB 931125

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 2801679
Sintomas
Depois de 11 de Dezembro de 2012, aplicações e operações que dependem de falhas de autenticações baseado em TLS podem subitamente falhar apesar de poderem não ter nenhuma alteração de configuração aparente. Algumas das aplicações e operações que poderão falhar incluem, mas não estão limitadas a, o seguinte:
  • Acesso à rede sem fios que utilize a autenticação baseada em certificados
  • Acesso à rede com fios que utilize a autenticação baseada em certificados
  • Conectividade de cliente para o Lync ou para o Office Communications Server
  • Correio de voz que utiliza o Exchange Server com Unified Messaging
  • Acesso de Web site de suporte de SSL
  • Inícios de sessão do Outlook
  • Atrasos de arranque do SO (arranque lento)
  • Atrasos de inícios de sessão de utilizador (início de sessão lento)
Eventos que são registados no Windows ou em registos de eventos específicos de aplicação e que o âmbito ou definitivamente identificar o sintoma descrito neste artigo incluem, mas não estão limitados a eventos que estão listados na seguinte tabela.
Registo de eventosOrigem do eventoID de eventoTexto do evento
SystemSchannel36885Ao solicitar a autenticação de cliente, este servidor envia uma lista de autoridades de certificação fidedignas para o cliente. O cliente utiliza esta lista para escolher um certificado de cliente que seja considerado fidedigno pelo servidor. Actualmente, este servidor considera fidedignas tantas autoridades de certificação que a lista se tornou demasiado longa. Esta lista, por conseguinte, foi truncada. O administrador deste computador deverá rever as autoridades de certificação fidedignas para autenticação de clientes e remover aquelas que não deverão ser consideradas fidedignas.
SystemSchannel36887Foi recebido o seguinte alerta de erro fatal: 47
SystemNapAgent39Não foi possível determinar que HRAs para pedir um certificado sanitário de Network Access Protection Agent. Uma alteração de rede ou se estiver configurado GP, uma alteração de configuração irá pedir mais tentativas para adquirir um certificado sanitário. Caso contrário, não serão efectuadas tentativas. Contacte o administrador HRA para obter mais informações.
SystemAcesso remoto20225Ocorreu o seguinte erro no módulo do protocolo ponto a ponto na porta: VPN2-509, nome de utilizador: <username>. A ligação foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação utilizado pelo servidor para verificar o nome de utilizador e palavra-passe pode não coincidir com o método de autenticação configurado no perfil de ligação. Contacte o administrador do servidor RAS e notifique-o deste erro. </username>
SystemAcesso remoto20271O utilizador <username>ligado a partir de <IP address="">, mas falhou uma tentativa de autenticação devido ao seguinte motivo: A ligação foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação utilizado pelo servidor para verificar o nome de utilizador e palavra-passe pode não coincidir com o método de autenticação configurado no perfil de ligação. Contacte o administrador do servidor RAS e notifique-o deste erro. </IP></username>


Causa
Estes problemas poderão ocorrer que se tiver actualizado o terceiros autoridades de Certication de raiz através da utilização de Dezembro de 2012 KB 931125 pacote de actualização. O pacote de KB 931125 que tiver sido registado no dia 11 de Dezembro de 2012, foi concebido apenas para o cliente SKUs. No entanto, foi também fornecido para SKUs de servidor para um curto período de tempo no Windows Update e no WSUS.

Este pacote instalado mais do que 330 autoridades de Certication de raiz de terceiros. Actualmente, o tamanho máximo da lista de autoridades de certificado fidedigno que o pacote de segurança do Schannel suporta é 16 kilobytes (KB). Tendo uma grande quantidade de autoridades de Certication de raiz de terceiros irá rever o 16K limite e, ocorrerão problemas de comunicação TLS/SSL.
Resolução
Se utiliza os WSUS e não instalou a actualização de Dezembro de 2012 KB 931125, deve sincronizar os servidores WSUS e, em seguida, aprovar as expirações para que os servidores não instale a actualização.

Se tiver instalado a Dezembro de 2012 KB 931125 pacote de actualização, deve utilizar a resolução que se segue para remover outras autoridades de Certication de raiz de terceiros em todos os servidores que agora tem uma grande quantidade de autoridades de Certication de raiz de terceiros.

Nota Esta solução remove todas as autoridades de Certication de raiz de terceiros. Se o servidor tem conectividade ao Windows Update, irá adicionar automaticamente back fabricantes Certication autoridades raiz conforme necessário, como também discutida no KB 931125. Se um servidor afectado está isolado ou disonnected da Internet, tem de manualmente adicione as autoridades de Certication de raiz de terceiros necessário à medida que teria feito no passado. (Ou, pode instalá-los utilizando a política de grupo.)

Para nos solicitar a correcção deste problema, vá para o "Segue-se uma correcção fácil"secção. Se preferir corrigir este problema manualmente, avance para o "Deixar-me corrigir o problema"secção.

Segue-se uma correcção fácil

Para corrigir este problema automaticamente, clique no botão Transferir . Na caixa de diálogo Transferência de ficheiros , clique em Executar ou Abrire, em seguida, siga os passos no Assistente de correcção fácil.
  • Certifique-se de que crie uma cópia de segurança do registo e de todas as chaves afectadas antes de efectuar quaisquer alterações ao sistema.
  • Este assistente pode estar apenas em inglês. No entanto, a correcção automática também funciona para outras versões de idioma do Windows.
  • Se não estiver no computador que tem o problema, guarde a solução de correcção fácil uma unidade flash ou num CD e, em seguida, executá-la no computador que tem o problema.

Deixar-me corrigir o problema

Fix50974 fácil

Elimine a seguinte chave de registo:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para tal, siga estes passos:
  1. Inicie o Editor de registo
  2. Localize a seguinte subchave de registo:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Botão direito do rato e, em seguida, elimine a chave que é designado por "Certificados"
Nota Certifique-se de que crie uma cópia de segurança do registo e das chaves afectadas antes de efectuar quaisquer alterações ao sistema.
Mais Informação
Estes problemas poderão ocorrer se um servidor TLS/SSL contém demasiadas entradas na lista de certificação de raiz fidedigna. O servidor envia uma lista de autoridades de certificação fidedignas para o cliente, caso se verifiquem as seguintes condições:
  • O servidor utiliza o Transport Layer Security (TLS) / protocolo de SSL para encriptar o tráfego de rede.
  • Certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.

Esta lista de autoridades de certificação fidedignas representa as autoridades a partir do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente tem de ter um certificado que está presente na cadeia de certificados para um certificado de raiz da lista do servidor. Isto acontece porque o certificado de cliente é sempre o certificado de entidade final no fim da cadeia. O certificado de cliente não faz parte da cadeia.

Actualmente, o tamanho máximo da lista de autoridades de certificado fidedigno que o pacote de segurança do Schannel suporta é 16 KB no Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

Schannel cria a lista de autoridades de certificação fidedignas procurando o arquivo de autoridades de certificação de raiz fidedigna no computador local. Cada certificado que seja fidedigno para fins de autenticação de cliente é adicionado à lista. Se o tamanho desta lista exceder 16 KB, o Schannel regista o ID de evento de aviso 36855. Em seguida, Schannel trunca a lista de certificados de raiz fidedigna e envia esta lista truncada para o computador cliente.

Quando o computador cliente recebe a lista de certificados de raiz fidedigna truncada, o computador cliente poderá não ter um certificado de que existe na cadeia de um emissor de certificados fidedignos. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado de raiz fidedigna Schannel truncado da lista de autoridades de certificação fidedignas. Por conseguinte, o servidor não consegue autenticar o cliente.
fixit fix fixme

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 2801679 - Última Revisão: 01/09/2016 07:34:00 - Revisão: 5.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtpt
Comentários