Windows 2008 R2: Schannel 36885 - Bagaimana Untuk

Windows 2008 R2: Schannel 36885

Mid December pelayan kami mula mendapat ralat ini

Sumber: Schannel
ID acara: 36885

Apabila meminta pengesahan pelanggan, pelayan ini menghantar senarai pihak berkuasa sijil yang dipercayai kepada pelanggan. Pelanggan menggunakan senarai ini untuk memilih sijil klien yang dipercayai oleh pelayan. Pada masa ini, pelayan ini mempercayai banyak pihak berkuasa sijil bahawa senarai itu telah berkembang terlalu lama. Senarai ini telah dipenggal. Pentadbir mesin ini perlu mengkaji semula pihak berkuasa sijil yang dipercayai untuk pengesahan pelanggan dan mengeluarkan mereka yang tidak semestinya perlu dipercayai.
==============

Sebab
Masalah ini mungkin berlaku jika anda mengemas kini Pihak Berkuasa Penyertaan Root Pihak Ketiga dengan menggunakan pakej kemaskini Disember 2012 KB 931125. Pakej KB 931125 yang disiarkan pada 11 Disember 2012, hanya bertujuan untuk SKU pelanggan. Bagaimanapun, ia juga ditawarkan untuk SKU Pelayan untuk masa yang singkat di Windows Update dan WSUS.

Pakej ini memasang lebih daripada 330 Pihak Berkuasa Penyertaan Root Pihak Ketiga. Pada masa ini, saiz maksimum senarai pihak berkuasa sijil yang dipercayai bahawa pakej keselamatan Schannel adalah 16 kilobytes (KB). Mempunyai sejumlah besar Pihak Berkuasa Penyertaan Root Pihak Ketiga akan mengatasi had 16k, dan anda akan mengalami masalah komunikasi TLS / SSL.
==============

Resolusi
Sekiranya anda menggunakan WSUS dan tidak memasang kemas kini Disember 2012 KB 931125, anda perlu menyelaraskan pelayan WSUS anda dan kemudian meluluskan habis tempoh supaya pelayan anda tidak memasang kemas kini.

Jika anda memasang pakej kemaskini Disember 2012 KB 931125, anda harus mengikuti resolusi di pautan di bawah untuk mengeluarkan Pihak Berkuasa Penyertaan Root Pihak Ketiga tambahan pada semua pelayan yang kini mempunyai sejumlah besar Pihak Berkuasa Penyertaan Root Pihak Ketiga.

2 langkah total

Langkah 1: Sama ada menggunakan Microsoft FixIt ...

http://support.microsoft.com/kb/2801679

Langkah 2: ... atau padam kekunci pendaftaran berikut: HKEY_LOCAL_MACHINE SOFTWARE Microsoft SystemCertificates AuthRoot Certificates

Catatan
Pastikan anda membuat sandaran kunci registri dan terjejas sebelum anda membuat apa-apa perubahan pada sistem anda.

Mula Editor Registry
Cari subkunci pendaftaran berikut: HKEY_LOCAL_MACHINE SOFTWARE Microsoft SystemCertificates AuthRoot
Klik kanan dan kemudian padamkan kunci yang dipanggil "Sijil"