Probleme bei der SSL/TLS-Kommunikation nach der Installation von KB 931125

Dieser Artikel bietet eine Lösung für SSL/TLS-Kommunikationsprobleme, die auftreten, nachdem Sie KB 931125 installiert haben.

Gilt für:   Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2

Ursprüngliche KB-Nummer:   2801679

Problembeschreibung

Nach dem 11. Dezember 2012 können Anwendungen und Vorgänge, die von TLS-basierten Authentifizierungen abhängig sind, plötzlich fehlschlagen, obwohl sie keine offensichtliche Konfigurationsänderung aufweisen. Zu den Anwendungen und Vorgängen, die fehlschlagen können, gehören unter anderem Folgendes:

  • Drahtlosnetzwerkzugriff mit zertifikatbasierter Authentifizierung
  • Verkabelter Netzwerkzugriff, der die zertifikatbasierte Authentifizierung verwendet
  • Clientkonnektivität mit Lync oder Office Communications Server
  • Voicemail, die Exchange Server zusammen mit Unified Messaging verwendet
  • SSL-aktivierter Websitezugriff
  • Outlook Anmeldungen
  • Betriebssystemstartverzögerungen (langsamer Start)
  • Verzögerungen bei der Benutzeranmeldung (langsame Anmeldung)

Ereignisse, die in Windows oder in anwendungsspezifischen Ereignisprotokollen protokolliert werden und entweder das in diesem Artikel behandelte Symptom ein- oder endgültig identifizieren, umfassen, sind aber nicht beschränkt auf Ereignisse, die in der folgenden Tabelle aufgeführt sind.

Ereignisprotokoll Ereignisquelle Ereignis-ID Ereignistext
System Schannel 36885 Bei der Aufforderung zur Clientauthentifizierung sendet dieser Server eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das vom Server als vertrauenswürdig eingestuft wird. Derzeit vertraut dieser Server so vielen Zertifizierungsstellen, dass die Liste zu lang geworden ist. Diese Liste wurde daher abgeschnitten. Der Administrator dieses Computers sollte die Zertifizierungsstellen überprüfen, die für die Clientauthentifizierung vertrauenswürdig sind, und diejenigen entfernen, die nicht wirklich vertrauenswürdig sein müssen.
System Schannel 36887 Die folgende schwerwiegende Warnung wurde empfangen: 47
System NapAgent 39 Der Netzwerkzugriffsschutz-Agent konnte nicht ermitteln, von welchen HRAs ein Integritätszertifikat angefordert werden soll. Eine Netzwerkänderung oder wenn GP konfiguriert ist, fordert eine Konfigurationsänderung weitere Versuche auf, ein Integritätszertifikat zu erwerben. Andernfalls werden keine weiteren Versuche unternommen. Wenden Sie sich an den HRA-Administrator, um weitere Informationen zu erfahren.
System RemoteAccess 20225 Der folgende Fehler ist im Point-to-Point-Protokollmodul am Port aufgetreten:
VPN2-509, Benutzername: <username> . Die Verbindung wurde aufgrund einer auf Ihrem RAS/VPN-Server konfigurierten Richtlinie verhindert. Insbesondere entspricht die Authentifizierungsmethode, die vom Server zum Überprüfen ihres Benutzernamens und Kennworts verwendet wird, möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie diesen Fehler.
System RemoteAccess 20271 Der Benutzer <username> hat aus <IP address> folgendem Grund eine Verbindung hergestellt, aber einen Authentifizierungsversuch fehlgeschlagen:
Die Verbindung wurde aufgrund einer auf Ihrem RAS/VPN-Server konfigurierten Richtlinie verhindert. Insbesondere entspricht die Authentifizierungsmethode, die vom Server zum Überprüfen ihres Benutzernamens und Kennworts verwendet wird, möglicherweise nicht der in Ihrem Verbindungsprofil konfigurierten Authentifizierungsmethode. Wenden Sie sich an den Administrator des RAS-Servers, und benachrichtigen Sie diesen Fehler.

Ursache

Diese Probleme können auftreten, wenn Sie Ihre Stammzertifizierungsstellen von Drittanbietern mithilfe des Updatepakets vom Dezember 2012 KB 931125 aktualisiert haben. Das KB-931125-Paket, das am 11. Dezember 2012 veröffentlicht wurde, war nur für Client-SKUs vorgesehen. Es wurde jedoch auch für Server-SKUs für einen kurzen Zeitraum auf Windows Update und WSUS angeboten.

Dieses Paket hat mehr als 330 Stammzertifizierungsstellen von Drittanbietern installiert. Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 KB. Eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern überschreitet den Grenzwert von 16 Kb, und Es treten TLS-/SSL-Kommunikationsprobleme auf.

Lösung

Wenn Sie WSUS verwenden und das Update vom Dezember 2012 KB 931125 nicht installiert haben, sollten Sie Ihre WSUS-Server synchronisieren und dann die Ablaufzeiten genehmigen, damit Ihre Server das Update nicht installieren.

Wenn Sie das Updatepaket vom Dezember 2012 KB 931125 installiert haben, sollten Sie die folgende Lösung verwenden, um zusätzliche Stammzertifizierungsstellen von Drittanbietern auf allen Servern zu entfernen, die jetzt über eine große Anzahl von Stammzertifizierungsstellen von Drittanbietern verfügen.

Hinweis

Mit dieser Lösung werden alle Stammzertifizierungsstellen von Drittanbietern entfernt. Wenn Ihr Server über eine Verbindung mit Windows Update verfügt, fügt er bei Bedarf automatisch Die Stammzertifizierungsstellen von Drittanbietern hinzu, wie auch in KB 931125 erläutert. Wenn ein betroffener Server isoliert oder vom Internet getrennt ist, müssen Sie die erforderlichen Stammzertifizierungsstellen von Drittanbietern manuell wie in der Vergangenheit hinzufügen. (Sie können sie auch mithilfe von Gruppenrichtlinien installieren.)

Um dieses Problem zu beheben, löschen Sie den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Gehen Sie dazu wie folgt vor:

  1. Starten des Registrierungs-Editors
  2. Suchen Sie den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Klicken Sie mit der rechten Maustaste, und löschen Sie dann den Schlüssel namens "Zertifikate".

Hinweis

Stellen Sie sicher, dass Sie eine Sicherung der Registrierung und der betroffenen Schlüssel vornehmen, bevor Sie Änderungen an Ihrem System vornehmen.

Weitere Informationen

Diese Probleme können auftreten, wenn ein TLS/SSL-Server viele Einträge in der Liste der vertrauenswürdigen Stammzertifizierungen enthält. Der Server sendet eine Liste der vertrauenswürdigen Zertifizierungsstellen an den Client, wenn die folgenden Bedingungen erfüllt sind:

  • Der Server verwendet das TLS-/SSL-Protokoll (Transport Layer Security) zum Verschlüsseln des Netzwerkdatenverkehrs.
  • Clientzertifikate sind für die Authentifizierung während des Handshake-Prozesses der Authentifizierung erforderlich.

Diese Liste der vertrauenswürdigen Zertifizierungsstellen stellt die Zertifizierungsstellen dar, von denen der Server ein Clientzertifikat annehmen kann. Um vom Server authentifiziert zu werden, muss der Client über ein Zertifikat verfügen, das in der Zertifikatkette zu einem Stammzertifikat aus der Serverliste vorhanden ist. Dies liegt daran, dass das Clientzertifikat immer das Endentitätszertifikat am Ende der Kette ist. Das Clientzertifikat ist nicht Teil der Kette.

Derzeit beträgt die maximale Größe der Liste der vertrauenswürdigen Zertifizierungsstellen, die das Schannel-Sicherheitspaket unterstützt, 16 KB in Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012.

Schannel erstellt die Liste der vertrauenswürdigen Zertifizierungsstellen, indem der Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem lokalen Computer durchsucht wird. Jedes Zertifikat, das für Clientauthentifizierungszwecke vertrauenswürdig ist, wird der Liste hinzugefügt. Wenn die Größe dieser Liste 16 KB überschreitet, protokolliert Schannel die Warnungsereignis-ID 36855. Anschließend wird von Schannel die Liste der vertrauenswürdigen Stammzertifikate abgeschnitten und diese abgeschnittene Liste an den Clientcomputer gesendet.

Wenn der Clientcomputer die gekürzte Liste der vertrauenswürdigen Stammzertifikate empfängt, verfügt der Clientcomputer möglicherweise nicht über ein Zertifikat, das in der Kette eines vertrauenswürdigen Zertifikatausstellers vorhanden ist. Beispielsweise verfügt der Clientcomputer möglicherweise über ein Zertifikat, das einem vertrauenswürdigen Stammzertifikat entspricht, das Schannel aus der Liste der vertrauenswürdigen Zertifizierungsstellen abgeschnitten hat. Daher kann der Server den Client nicht authentifizieren.