Problemas de comunicação SSL/TLS, depois de instalar o KB 931125

Traduções deste artigo Traduções deste artigo
ID do artigo: 2801679 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Depois de 11 de dezembro de 2012, os aplicativos e operações que sejam dependentes de autenticações de falhas baseadas em TLS repentinamente podem falhar, embora não tenham nenhuma alteração de configuração aparente. Alguns dos aplicativos e operações que podem falhar incluem, mas não estão limitados, aos seguintes:
  • Acesso à rede sem fio que use autenticação baseada em certificado
  • Acesso de rede com fio que use autenticação baseada em certificado
  • Conectividade de cliente para o Lync ou para o Office Communications Server
  • Correio de voz que use o Exchange Server em conjunto com a Unificação de mensagens
  • Acesso ao site SSL habilitado
  • Logons do Outlook
  • Atrasos de inicialização do sistema operacional (inicialização lenta)
  • Atrasos de logon do usuário (logon lento)
Eventos que sejam registrados no Windows ou em registros de eventos de aplicativos específicos, e cujo escopo ou identificação definitiva dos sintomas discutidos neste artigo incluam, mas não se limitem, aos eventos listados na tabela a seguir.


Recolher esta tabelaExpandir esta tabela
Log de eventosOrigem do eventoIdentificação do eventoTexto do evento
SistemaSchannel36885Ao solicitar a autenticação do cliente, este servidor envia uma lista de autoridades de certificação confiáveis ao cliente. O cliente usa essa lista para escolher um certificado de cliente que seja confiável para o servidor. No momento, este servidor confia em tantas autoridades de certificação que a lista ficou muito longa. Esta lista, portanto, foi truncada. O administrador do computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aquelas em que realmente não precisem ser confiadas.
SistemaSchannel36887Foi recebido o seguinte alerta fatal: 47
SistemaNapAgent39O agente de proteção de acesso de rede não pôde determinar para quais HRAs pode solicitar um certificado de integridade. Uma alteração na rede ou se a diretiva de grupo for configurada, uma alteração de configuração solicitará mais tentativas para se adquirir um certificado de integridade. Caso contrário, não serão feitas tentativas.Para obter mais informações, entre em contato com o administrador da HRA.
SistemaAcesso remoto20225Erro no módulo protocolo ponto a ponto na porta: VPN2-509, nome de usuário: <username>. A conexão foi estabelecida devido a uma diretiva configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e a senha não pode coincidir com o método de autenticação configurado no perfil de conexão. Entre em contato com o administrador do servidor RAS e notifique este erro. </username>
SistemaAcesso remoto20271O usuário <username>conectado a partir de <IP address="">, mas falha na tentativa de autenticação pelo seguinte motivo: A conexão foi estabelecida devido a uma diretiva configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e a senha não pode coincidir com o método de autenticação configurado no perfil de conexão. Entre em contato com o administrador do servidor RAS e notifique este erro. </IP></username>


Causa

Esses problemas podem ocorrer caso você tenha atualizado sua Autoridades de Certificação Raíz de Terceiros por meio do pacote de atualização KB 931125 de dezembro de 2012. O pacote de 931125 KB foi lançado em 11 de dezembro de 2012 e foi projetado apenas para clientes SKUs. No entanto, ele foi também oferecido para SKUs do servidor por um curto tempo no Windows Update e WSUS.

Este pacote já instalado por mais de 330 Autoridades de Certificação Raiz de Terceiros. Atualmente, o tamanho máximo da lista de autoridades de certificação confiáveis que oferecem suporte a pacotes de segurança Schannel é de 16 kilobytes (KB). Ter uma grande quantidade de Autoridades de Certicação de Raiz de Terceiros que ultrapasse o limite de 16k causará problemas de comunicação TLS/SSL.

Resolução

Se você usa o WSUS e não instalou a atualização KB 931125 de dezembro de 2012, você deve sincronizar os servidores WSUS e aprovar as expirações para que os servidores não instalem a atualização.

Se você instalou o pacote de atualização KB 931125 de dezembro de 2012 , você deve usar a resolução para remover Autoridades de Certificação Raiz de Terceiros adicionais em todos os servidores que agora tem uma grande quantidade Autoridades de Certificação Raiz de Terceiros.

Observação: Essa solução elimina todas as Autoridades de Certificação Raiz de Terceiros. Se seu servidor tiver conectividade com o Windows Update, ele automaticamente adicionará Autoridades de Certificação Raiz de Terceiros conforme necessário, como também discutidas no KB 931125. Se um servidor afetado é isolado ou disconectado da Internet, você deve adicionar manualmente as Autoridades de Certificação Raiz de Terceiros necessárias como você pode ter feito no passado. (Ou você pode instalá-los usando a diretiva de grupo.)

Para que possamos corrigir esse problema para você, vá para a seção "Corrigir para mim". Se você preferir corrigir o problema sozinho, vá para a seção "Desejo corrigir sozinho".

Corrigir para mim

Para corrigir esse problema automaticamente, clique no corrigi-lo botão ou link, clique em Executar na caixa de diálogo Download de arquivo e, em seguida, siga as etapas no assistente Fix it .


Corrigir este problema
Microsoft Fix it 50974
Observação

  • Certifique-se de que você tenha feito um backup do registro e de todas as chaves afetadas antes de fazer qualquer alteração em seu sistema.
  • Este assistente pode estar apenas em inglês. No entanto, a correção automática também funciona em outras versões de idioma do Windows.
  • Se você não estiver no computador que apresentou o problema, salve a correção-solução para uma unidade flash ou um CD e execute a solução no computador que apresentou o problema.

Desejo corrigir sozinho

Exclua a seguinte chave do registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para fazer isso, execute as seguintes etapas:
  1. Inicie o Editor do Registro.
  2. Localize a seguinte subchave do registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Clique com botão direito e, em seguida, exclua a chave que é chamada de "Certificados"
Observação: Certifique-se de que você faça um backup do registro e chaves afetadas antes de fazer qualquer alteração em seu sistema.

Mais Informações

Esses problemas podem ocorrer se um servidor TLS/SSL contém muitas entradas na lista de certificação de raiz confiável. O servidor envia uma lista de autoridades de certificação confiáveis para o cliente se as seguintes condições forem verdadeiras:
  • O servidor usa a segurança de camada de transporte (TLS) / protocolo SSL para criptografar o tráfego de rede.
  • Os certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.

Esta lista de autoridades de certificação confiáveis representa as autoridades do qual o servidor pode aceitar um certificado de cliente. Para ser autenticado pelo servidor, o cliente deve ter um certificado que está presente na cadeia de certificados a um certificado raiz de lista do servidor. Isso ocorre porque o certificado do cliente é sempre o certificado de entidade final no final da cadeia. O certificado de cliente não faz parte da cadeia.

Atualmente, o tamanho máximo da lista de autoridades de certificação confiáveis que oferecem suporte a pacotes de segurança Schannel é de 16 KB no Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

Schannel cria a lista de autoridades de certificação confiáveis pesquisando o armazenamento de autoridades de certificação raiz confiáveis no computador local. Cada certificado é confiável para fins de autenticação de cliente é adicionado à lista. Se o tamanho dessa lista exceder 16 KB, o Schannel registra o ID de evento de aviso 36855. Em seguida, o Schannel trunca a lista de certificados raiz confiáveis e envia essa lista truncada no computador cliente.

Quando o computador cliente recebe a lista truncada de certificados raiz confiáveis, o computador cliente não pode ter um certificado que exista na cadeia de um emissor de certificados confiáveis. Por exemplo, o computador cliente pode ter um certificado que corresponda a um certificado raiz confiável que Schannel truncou da lista de autoridades de certificação confiáveis. Portanto, o servidor não pode autenticar o cliente.

Propriedades

ID do artigo: 2801679 - Última revisão: quinta-feira, 2 de outubro de 2014 - Revisão: 6.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Datacenter without Hyper-V
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Enterprise without Hyper-V
  • Windows Server 2008 R2 Service Pack 1
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Standard without Hyper-V
  • Windows Server 2008 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Standard without Hyper-V
  • Windows Small Business Server 2008 Premium
  • Windows Small Business Server 2008 Standard
  • Windows Small Business Server 2011 Essentials
  • Windows Small Business Server 2011 Premium Add-On
  • Windows Small Business Server 2011 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
Palavras-chave: 
kbmt KB2801679 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 2801679

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com