可用于 Windows Server 中根证书更新问题的修复
大家好,我是 Christa Anderson。我们想让你们注意到一个可能会影响你们的 Windows Server 部署的问题,并告诉你们我们是如何在我们杰出的客户技术支持团队的帮助下来解决这一问题的。
正如 KB 931125 中所述,一个之前仅适用于客户端操作系统的程序包现在有了适用于服务器操作系统的版本,用户可以通过 WSUS 和 Windows 获取改更新包。这个更新包旨在更新受信任根证书的存储区,并同时向这个证书存储区添加了大量的新证书。Windows Vista 及更高版本可自动更新其证书存储区,而 Windows XP 则要求用户定期主动更新。
我们要解决的问题是:由于用于向客户端发送受信证书的 SChannel 安全包在大小上具有 16KB 的限制,在TLS服务器开始发送证书信息后,当安全包达到 16KB 时,发送过程即会停止。因此,当存储区内有过多的证书时会导致 TLS 服务器无法成功发送所需的证书信息。而如果客户端没有正确的证书信息,它们将无法使用那些依赖 TLS 进行身份验证的服务。由于 KB 931125 中的根证书更新包会向证书存储区中添加大量的证书,因此服务器在应用该更新后将导致其证书存储区大小超过 16KB 的限制,从而可能导致潜在的 TLS 身份验证失败。
为解决这一问题,我们做了以下工作:首先,我们在 12 月从 Windows 更新和 WSUS 中抽出了该包,从而使其无法再影响其他服务器。如果您此时更新您的 WSUS 服务器,该包将不复存在(尽管在已部署的服务器上该包依然存在)。其次,为帮助您处理已安装该更新的服务器,我们在 KB 2801679 中提供了 Fixit 解决方案。如果您遇到了依赖于 TLS 的服务中断情况,我们建议您使用 KB 2801679 中的 Fixit 解决方案。如有更多问题,请致电客户支持服务部门(链接中的信息)。