Windows 8 或 Windows Server 2012 中，SSL/TLS 客户端证书身份验证不起作用

症状

请考虑以下情形：

• 您正在运行 Windows 8 或 Windows Server 2012 的计算机上使用安全套接字层/传输层安全 (SSL/TLS) 客户端证书身份验证。

• 看似无关的 SSL/TLS 客户端证书身份验证的操作执行。但是，该操作会导致要超过 16 千字节 (KB) 的受信任的根存储区。例如，执行以下操作之一︰

  • 在远程会话中，未经身份验证的用户使用客户端证书是否链接到小说受信任根探测 SSL 端点服务器。然后，加密应用程序编程接口 (CAPI) 将自动安装新颖的受信任的根。

  • 用户登录到计算机并浏览受新颖的受信任根的 SSL/TLS 网站。

  • CAPI 自动更新现有安装的根。这种现象导致增加的根目录或枚举顺序发生更改的大小。

  • 在证书的枚举顺序代码发生更改 （例如，安装的修补程序的更改的证书存储区的代码或更改表排序）。

  • 用户切换使用证书。

  • 管理员将新的证书安装到受信任的根存储区。

在此方案中，客户端证书身份验证不再工作。

注意：无论SendTrustedIssuerList注册表项的值时出现此问题。换句话说，您不能通过设置SendTrustedIssuerList注册表项的值来解决此问题。将SendTrustedIssuerList注册表项位于以下注册表子项下︰

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

原因

发生此问题是因为在服务器端错误地截断的受信任的根证书颁发机构列表。默认情况下，服务器不发送列表到客户端的客户端证书验证过程。因此，截断不是必需的。

解决方案

此修复程序可以在。

文件信息

状态

Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息

通过网络传送的 TLS 数据包的最大大小为 16 KB。在本文中描述的问题，服务器生成的可接受的证书颁发机构，可分辨名称的列表，然后将该列表发送到客户端。如果可接受证书的数目很大 （例如，300 多个证书），TLS 数据包的大小可能会超过 16 KB 的限制。因此，服务器向客户端发送列表截断为 16 KB 的列表。

有关软件更新术语的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

用于描述 Microsoft 软件更新的标准术语的说明

其他文件信息