狀況
請考慮下列情況:
-
您可以使用安全通訊端階層/傳輸階層安全性 (SSL/TLS) 用戶端憑證驗證 Windows 8 或 Windows Server 2012 正在執行的電腦上。
-
執行無關 SSL/TLS 的用戶端憑證驗證作業。不過,則運算會超過 16 位元組 (KB) 限制的信任的根存放區。比方說,被執行下列作業之一︰
-
在遠端工作階段中,未驗證的使用者會使用用戶端憑證鏈結到小說信任根目錄探查 SSL 端點伺服器。然後,密碼編譯應用程式發展介面 」 (CAPI) 會自動安裝的嶄新的受信任的根目錄。
-
使用者登入電腦,並瀏覽受到嶄新的信任根的 SSL/TLS 網站。
-
CAPI 會自動更新現有安裝的根。這個行為會造成以增加根或列舉型別順序,若要變更的大小。
-
在憑證列舉型別順序的程式碼中發生的變更 (例如,在安裝 hotfix 變更的憑證存放區的程式碼,或變更資料表排序)。
-
使用者切換使用憑證。
-
系統管理員會將新的憑證安裝到信任的根存放區。
-
在這個案例中,用戶端憑證驗證不再運作。
注意發生這個問題,而不SendTrustedIssuerList登錄項目的值。換句話說,您無法解決這個問題,藉由設定SendTrustedIssuerList登錄項目的值。SendTrustedIssuerList登錄項目位於下列登錄子機碼下︰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
原因
之所以發生這個問題,是因為在伺服器端的 「 受信任的根憑證授權單位清單會被截斷錯誤。根據預設,伺服器不會傳送清單對用戶端在用戶端憑證驗證期間。因此,不需要截斷。
解決方案
此 hotfix 也是在Microsoft Update 類別目錄可用的。
Hotfix 資訊
支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 Hotfix 只適用於發生此特定問題的系統上。
如果 Hotfix 可供下載,在此知識庫文件頂端將出現<有可用的 Hotfix 供您下載>區段。如果這個區段不會出現,將要求提交給 Microsoft 客戶服務及支援取得 Hotfix。 注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如 Microsoft 客戶服務及支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站︰http://support.microsoft.com/contactus/?ws=support注意「 可下載 Hotfix 」表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。
先決條件
若要套用此 hotfix,您必須執行 Windows 8 或 Windows Server 2012。
登錄資訊
若要使用此套件中的 hotfix,您不需對登錄進行任何變更。
重新啟動需求
套用此 hotfix 後,您必須重新啟動電腦。
Hotfix 取代資訊
此 hotfix 不會取代先前發行的 hotfix。
此 hotfix 的全域版本安裝檔案具有下列表格中所列的屬性。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。
Windows 8 和 Windows Server 2012 檔案資訊備忘稿重要Windows 8 hotfix 及 Windows Server 2012 hotfix 隨附在相同的套件中。不過,只有 「 視窗 8 」 會列在 Hotfix 要求] 頁面。若要要求 hotfix 套件套用至一或兩個作業系統,選取列在 [Windows 8] 下,在頁面的 hotfix。永遠參考文件的〈套用〉一節以判斷實際套用每個 hotfix 的作業系統。
-
可以藉由檢查檔案版本號碼來識別套用至特定產品、里程碑 (RTM、SPn) 及服務分支 (LDR、 GDR) 的檔案,如下列表格中所示:
版本
產品
里程碑
服務分支
6.2.920 0.20 xxx
Windows 8 和 Windows Server 2012
RTM
LDR
-
資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 < 其他檔案="" windows="" 8="" 和="" windows="" server="" 2012="" 資訊=""> 一節中的 [分別列出。MUM 及 MANIFEST 檔案,以及相關的安全性目錄 (.cat) 檔案,對維護更新元件的狀態非常重要。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。
對於所有支援的 x86 為基礎的版本的 Windows 8
檔案屬性 |
值 |
---|---|
檔案名稱 |
Schannel.dll |
檔案版本 |
6.2.9200.20810 |
檔案大小 |
325,632 |
日期 (UTC) |
29-Aug-2013 |
時間 (UTC) |
04:11 |
平台 |
x86 |
對於所有支援的 x64 為主的 Windows 8 和版本的 Windows Server 2012
檔案屬性 |
值 |
---|---|
檔案名稱 |
Schannel.dll |
檔案版本 |
6.2.9200.20810 |
檔案大小 |
416,256 |
日期 (UTC) |
29-Aug-2013 |
時間 (UTC) |
05:25 |
平台 |
x64 |
檔案名稱 |
Schannel.dll |
檔案版本 |
6.2.9200.20810 |
檔案大小 |
325,632 |
日期 (UTC) |
29-Aug-2013 |
時間 (UTC) |
04:11 |
平台 |
x86 |
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
更多的資訊
透過網路傳輸的 TLS 封包的最大大小為 16 KB。本文所述的問題,在伺服器建立的可接受的憑證授權單位的分辨名稱的清單,並再傳送給用戶端的清單。如果可接受的憑證數目很大 (例如,300 個以上的憑證) 的 TLS 封包的大小可能會超過 16 KB 限制。因此,伺服器就會設為 16 KB 清單截斷的傳送到用戶端的清單。
如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:用來描述 Microsoft 軟體更新標準術語的編號 824684描述
Windows 8 和 Windows Server 2012 的其他檔案資訊
其他支援 x86 為基礎的所有版本 Windows 8 的檔案
檔案屬性 |
值 |
---|---|
檔案名稱 |
X86_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_1f92a99e3f9206f5.manifest |
檔案版本 |
不適用 |
檔案大小 |
13,286 |
日期 (UTC) |
29-Aug-2013 |
時間 (UTC) |
05:00 |
平台 |
不適用 |
其他的檔案,所有支援 x64 為主的 Windows 8 和版本的 Windows Server 2012
檔案屬性 |
值 |
---|---|
檔案名稱 |
Amd64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_7bb14521f7ef782b.manifest |
檔案版本 |
不適用 |
檔案大小 |
13,290 |
日期 (UTC) |
29-Aug-2013 |
時間 (UTC) |
06:43 |
平台 |
不適用 |
檔案名稱 |
Wow64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_8605ef742c503a26.manifest |
檔案版本 |
不適用 |
檔案大小 |
7,312 |
日期 (UTC) |
29-Aug-2013 |
時間 (UTC) |
04:51 |
平台 |
不適用 |