你目前正处于脱机状态,正在等待 Internet 重新连接

设置 KB 931125 后的 SSL/TLS 通信问题

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 2801679
症状
在 2012 年 12 月 11 日之后应用程序和基于 TLS 身份验证失败相关的操作可能会突然失败虽然他们没有明显的配置更改。某些应用程序和操作可能会失败,包括,但不是限于以下:
  • 使用基于证书的身份验证的无线网络访问
  • 使用基于证书的身份验证的有线的网络访问
  • 客户端连接到 Lync 或办公室通信服务器
  • 使用 Exchange Server 和统一消息语音邮件
  • 启用 SSL 的网站访问
  • Outlook 登录
  • 操作系统启动延迟 (慢启动)
  • 用户的登录延迟 (慢登录)
事件窗口中或在特定于应用程序事件日志中的记录和所确定的范围或明确地识别在这篇文章中讨论的症状包括但并不仅限于在下表中列出的事件。
事件日志事件源事件 ID事件文本
系统频道36885在要求客户端身份验证,此服务器将发送到客户端的受信任的证书颁发机构的列表。客户端使用此列表可以选择受信任的服务器的客户端证书。目前,此服务器信任如此之多的证书颁发机构列表已变得太长。此列表已因此被截断。此计算机的管理员应该检查受信任的客户端身份验证的证书颁发机构并删除那些确实不需要受信任。
系统频道36887已收到下列严重警告: 47
系统NapAgent39网络访问保护代理程序无法确定哪个 HRAs 申请从健康证书。网络改变或配置更改如果 GP 配置时,将提示进一步尝试获取健康证书。否则不会再将尝试。有关详细信息,请联系 HRA 管理员。
系统远程访问20225在端口上的点对点协议模块中发生以下错误: VPN2 509、 用户名: <username>。连接被阻止由于 RAS/VPN 服务器上配置的策略。特别是,服务器用来验证您的用户名和密码的身份验证方法可能与连接配置文件中配置的身份验证方法。请与 RAS 服务器的管理员联系,通知他们此错误。 </username>
系统远程访问20271用户<username><IP address="">的连接,但由于以下原因而导致的身份验证尝试失败: 连接被阻止,因为 RAS/VPN 服务器上配置的策略。特别是,服务器用来验证您的用户名和密码的身份验证方法可能与连接配置文件中配置的身份验证方法。请与 RAS 服务器的管理员联系,通知他们此错误。 </IP></username>


原因
如果更新第三方使用的根 Certication 机构 2012 年 12 月 KB 931125 更新包,可能会出现这些问题。在 2012 年 12 月 11 日,发布 KB 931125 包被供客户端 Sku。但是,它还提供的服务器 Sku Windows 更新和 WSUS 上一段时间。

此软件包安装超过 330 第三方根 Certication 机构。目前,则 Schannel 安全程序包支持受信任的证书颁发机构列表的最大大小是 16 字节 (KB)。有大量的第三方根 Certication 机构将超出 16k 限制,并且您会遇到 TLS/SSL 通信问题。
解决方案
如果您使用 WSUS,并且未安装 2012 年 12 月 KB 931125 更新,应同步您的 WSUS 服务器,然后批准过期时间,以便您的服务器没有安装该更新。

如果您安装了 2012 年 12 月 KB 931125 更新软件包,您应使用下面的解决方法删除现在有大量的第三方根 Certication 机构的所有服务器上的其他第三方根 Certication 机构。

注意:此解决方案中删除所有第三方根 Certication 机构。如果您的服务器已连接到 Windows 更新,它会自动添加回第三方的根 Certication 机构根据需要,还为所述 KB 931125。如果受影响的服务器是独立的或从互联网断开,则必须手动添加必要的第三方根 Certication 机构形式将过去完成。(或者,您可以通过使用组策略安装它们。

让我们为您解决此问题,请转到"这是简单的解决方法"一节。如果您希望手动修复此问题,请转到"我自己修复此问题"一节。

这是简单的解决方法

若要自动修复此问题,请单击下载按钮。在文件下载对话框中,单击运行打开,然后按照很容易修复向导中的步骤。
  • 请确保您进行备份注册表和所有受影响的参数,对系统进行任何更改之前。
  • 此向导可能只提供英文版本。但是,自动修复也适用于其他语言版本的 Windows。
  • 如果你不出现此问题的计算机上,将很容易修复解决方案保存至闪存驱动器或 CD 中,,然后在出现此问题的计算机上运行。

我自己修复此问题

简单的 fix50974

删除以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

若要执行此操作,请按照下列步骤操作:
  1. 启动注册表编辑器
  2. 找到下面的注册表子项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. 用鼠标右键单击,然后删除名为"Certificates"的键
注意:请确保您对系统进行任何更改之前进行备份注册表和受影响的项。
更多信息
如果 TLS/SSL 服务器包含受信任的根证书列表中的多个项,则可能会出现这些问题。如果以下情况属实,由服务器发送到客户端的受信任的证书颁发机构的列表:
  • 服务器使用传输层安全性 (TLS) / SSL 协议的网络通信进行加密。
  • 客户端证书所需的身份验证身份验证握手过程。

此列表中的受信任的证书颁发机构表示从该服务器可以接受客户端证书的机构。由服务器进行身份验证,则客户端必须从服务器列表中已存在的证书链中到根证书的证书。这是因为该客户端证书始终是最终实体证书链的末尾。客户端证书不是链的一部分。

目前,频道安全数据库支持受信任的证书颁发机构列表的最大大小是在 Windows Server 2008,Windows Server 2008 R2 和 Windows Server 2012 16 KB。

频道通过搜索本地计算机上受信任的根证书颁发机构存储区创建受信任的证书颁发机构的列表。受信任的客户端进行身份验证的每个证书添加到列表中。如果此列表的大小超过 16 KB,则 Schannel 将记录警告事件 ID 36855。然后,Schannel 截断的受信任的根证书的列表,并将此截断的列表发送到客户端计算机。

当客户端计算机收到被截断的受信任的根证书列表时,客户端计算机可能没有存在于受信任的证书颁发者链中的证书。例如,客户端计算机可能具有对应于 Schannel 截断从受信任的证书颁发机构的列表的受信任的根证书的证书。因此,服务器不能对客户端进行身份验证。
fixit fix it fixme

警告:本文已自动翻译

属性

文章 ID:2801679 - 上次审阅时间:09/25/2015 09:44:00 - 修订版本: 5.0

Windows Server 2012 Datacenter, Windows Server 2012 Essentials, Windows Server 2012 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Datacenter without Hyper-V, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Enterprise without Hyper-V, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Standard without Hyper-V, Windows Server 2008 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Standard without Hyper-V, Windows Small Business Server 2008 Premium, Windows Small Business Server 2008 Standard, Windows Small Business Server 2011 Essentials, Windows Small Business Server 2011 Premium Add-On, Windows Small Business Server 2011 Standard, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 R2 Preview, Windows Server 2012 R2 Standard

  • kbmt KB2801679 KbMtzh
反馈