Beheben von SSL-/TLS-Fehlern
Die folgenden Meldungen beziehen sich auf alle SSL-/TLS-Verbindungen:
Reflection SSL/TLS konnte keine verschlüsselte Verbindung zum Reflection Sicherheits-Proxy aufbauen. Autorisierungs-Token ist ungültig.
Das vom Verwaltungsserver von Reflection for the Web erzeugte Autorisierungstoken, das vom Reflection-Sicherheitsproxy benötigt wird, wurde vom Proxy empfangen, ist jedoch ungültig oder abgelaufen.
Mögliche Ursachen
- Sie versuchen, die Verbindung zu Ihrer Windows-basierten Reflection-Sitzung wiederherzustellen, nachdem das Autorisierungstoken abgelaufen ist.
- Sie versuchen, eine Reflection-Sitzung aus einer Einstellungsdatei auf Ihrer lokalen Festplatte zu starten, statt auf die Verknüpfung auf der Webseite zu klicken, und Ihr lokal verfügbares Autorisierungstoken ist abgelaufen.
Das Sicherheitszertifikat des Verwaltungsservers von Reflection for the Web wird vom Proxyserver als nicht vertrauenswürdig eingestuft.
Schritte für die Fehlerbehebung
- Verwenden Sie zum Starten bzw. zum Wiederherstellen einer Verbindung zu Ihren Sitzungen grundsätzlich die Reflection for the Web-Verknüpfung für den gewünschten Host und die gewünschte Sitzung.
- Verwenden Sie zum erneuten Laden oder Authentifizieren die Listenseite mit den Reflection for the Web-Verknüpfungen für Ihre gültigen Sitzungen.
- Wenn Sie weitere Hilfe bei der Fehlerbehebung benötigen, wenden Sie sich an den für Reflection for the Web zuständigen Systemadministrator.
Reflection SSL/TLS konnte keine verschlüsselte Verbindung zum Reflection Sicherheits-Proxy aufbauen. Autorisierungs-Token fehlt.
Das vom Verwaltungsserver von Reflection for the Web erzeugte Autorisierungstoken, das vom Reflection-Sicherheitsproxy benötigt wird, ist auf dem Proxyserver nicht eingegangen.
Mögliche Ursachen
- Sie versuchen, eine Reflection-Sitzung aus einer Einstellungsdatei auf Ihrer lokalen Festplatte zu starten, statt auf die Verknüpfung auf der Webseite zu klicken.
Auf dem Verwaltungsserver von Reflection for the Web ist kein Sicherheitszertifikat installiert.
Schritte für die Fehlerbehebung
- Verwenden Sie zum Starten bzw. zum Wiederherstellen einer Verbindung zu Ihren Sitzungen grundsätzlich die Reflection for the Web-Verknüpfung für den gewünschten Host und die gewünschte Sitzung.
- Verwenden Sie zum erneuten Laden oder Authentifizieren die Listenseite mit den Reflection for the Web-Verknüpfungen für Ihre gültigen Sitzungen.
- Wenn Sie weitere Hilfe bei der Fehlerbehebung benötigen, wenden Sie sich an den für Reflection for the Web zuständigen Systemadministrator.
Reflection-SSL/TLS konnte keine verschlüsselte Verbindung aufbauen
Der SSL/TLS-Quittungsbetrieb ist fehlgeschlagen.
Ursache(n)
- Wenn explizit ein bestimmter Verschlüsselungsgrad angegeben wurde, ist der angeforderte Verschlüsselungsgrad vom Server möglicherweise nicht akzeptiert worden.
- Der Server unterstützt keine SSL-/TLS-Verbindungen.
- Sie versuchen, eine Verbindung unter Verwendung des falschen Hostanschlusses aufzubauen.
- Der Server akzeptiert keine Verbindungen oder ist heruntergefahren.
- Die SSL-/TLS-Version Ihres Windows-Betriebssystems wird vom Server nicht unterstützt.
- Der im FIPS-Modus ausgeführte Client kann die Verbindung nicht akzeptieren, da das Serverzertifikat nicht unterstützt wird. Die Schlüssellänge des Serverzertifikats muss die Anforderungen des FIPS-Standards zum Schutz des geheimen Schlüssels erfüllen, der von den Kommunikationspartnern ausgetauscht und zum Verschlüsseln der Sitzung genutzt wird. Für die Schlüssellänge des Hostzertifikats gelten folgende Anforderungen:
Gemeinsamer Schlüssel
|
Anforderungen an den Hostzertifikatschlüssel
|
3DES (168 Bit, effektiv 112 Bit)
|
RSA- oder DSA-Schlüssel mit mindestens 1024 Bit
|
AES (128 Bit)
|
RSA- oder DSA-Schlüssel mit mindestens 3072 Bit
|
Schritte für die Fehlerbehebung
- Wählen Sie einen anderen Wert für den Verschlüsselungsgrad aus, oder wählen Sie die Einstellung Standard, und versuchen Sie es erneut. Fragen Sie den Systemadministrator Ihres Servers, welche Verschlüsselungsarten der Server unterstützt.
- Bitten Sie Ihren Systemadministrator zu prüfen, ob der Server richtig funktioniert. Wenn Sie eine nicht gesicherte Verbindung herstellen möchten, deaktivieren Sie im Dialogfeld Sicherheitseigenschaften das Kontrollkästchen SSL-/TLS-Sicherheit verwenden.
- Überprüfen Sie den Anschluss, über den Sie die Verbindungen herstellen. Reflection verwendet für Telnet-Verbindungen standardmäßig den Anschluss 23 und für VT-MGR-Verbindungen standardmäßig den Anschluss 1570. In den meisten Fällen müssen Sie diesen Wert für SSL-/TLS-Verbindungen ändern. Erkundigen Sie sich bei Ihrem Systemadministrator nach einem geeigneten Anschlusswert für Ihren Host.
- Fragen Sie den Systemadministrator außerdem nach dem Systemstatus, oder versuchen Sie, die Verbindung zu einem späteren Zeitpunkt herzustellen.
- Konfigurieren Sie Reflection so, dass die Verbindung ohne versionsspezifischen Quittungsbetrieb hergestellt wird.
Reflection-SSL/TLS konnte keine Benutzerberechtigungsnachweise finden
Der SSL-/TLS-Client konnte keine Benutzerberechtigungsnachweise finden. Sie müssen sich bei dem Host, mit dem Sie eine Verbindung herstellen möchten, mit Ihrem persönlichen Zertifikat authentifizieren, es wurde jedoch kein persönliches Zertifikat gefunden.
Schritte für die Fehlerbehebung
- Sofern Sie noch nicht über ein Clientzertifikat verfügen, bitten Sie Ihren Systemadministrator, Ihnen eines zur Verfügung zu stellen.
- Wenn Ihr Clientzertifikat sowohl einen öffentlichen als auch einen privaten Schlüssel enthält, müssen Sie es im privaten Speicher des Windows- bzw. Reflection-Zertifikatspeichers installieren.
Wartezeit für Reflection-SSL/TLS wurde beim Versuch, eine verschlüsselte Verbindung aufzubauen, überschritten
Der SSL/TLS-Quittungsbetrieb wurde nicht innerhalb der festgelegten Wartezeit abgeschlossen.
Ursache(n)
- Aufgrund einer hohen Netzwerkbelastung bzw. langsamen Verbindung konnte der SSL-/TLS-Quittungsbetrieb innerhalb der angegebenen Wartezeit nicht abgeschlossen werden. Da die SSL-/TLS-Wartezeit mit der TCP/IP-Wartezeit vergleichbar ist, liegt mit hoher Wahrscheinlichkeit außerdem eine Wartezeitüberschreitung beim Herstellen der Telnet-Verbindung vor.
- Der Server oder das Netzwerk ist heruntergefahren.
- Die SSL-/TLS-Version Ihres Windows-Betriebssystems wird vom Server nicht unterstützt.
Schritte für die Fehlerbehebung
- Die SSL-/TLS-Wartezeit kann nicht zurückgesetzt werden.
- Fragen Sie den Server- oder Netzwerkadministrator nach dem Systemstatus, oder versuchen Sie, die Verbindung zu einem späteren Zeitpunkt herzustellen.
- Konfigurieren Sie Reflection so, dass die Verbindung ohne versionsspezifischen Quittungsbetrieb hergestellt wird.
Die Verbindung wurde aufgrund einer beschädigten Nachrichtenverarbeitung getrennt
Die Verbindung wurde aufgrund eines ungültigen Hashwerts (Message Digest) getrennt. Anhand des Hashwerts wird überprüft, ob sich der Inhalt einer Meldung bei der Übertragung vom Host zum Client geändert hat.
Ursache(n)
- Der Hashwert wurde aufgrund einer fehlerhaften Netzwerkverbindung beschädigt.
- Der Hashwert wurde durch einen Hackerangriff beschädigt.
Schritte für die Fehlerbehebung
- Stellen Sie die Netzwerkverbindung wieder her. Wenn der Fehler wiederholt auftritt, wenden Sie sich an Ihren Netzwerkadministrator, da dies auf Hackeraktivitäten oder Hardwareprobleme zwischen Client und Server hindeuten könnte.
Das SSL/TLS-Zertifikat des Hosts stammt nicht von einer zuverlässigen Zertifizierungsstelle oder ist abgelaufen
Das vom Server bereitgestellte Zertifikat war ungültig, oder es wurde von einer Zertifizierungsstelle (Certification Authority; CA) ausgegeben, die der Benutzer nicht als vertrauenswürdig eingestuft hat.
Ursache(n)
- Das Serverzertifikat des Hosts ist in der Liste Vertrauenswürdige Stammzertifizierungsstellen Ihres Systems nicht enthalten. Sofern Sie den Windows-Zertifikatspeicher aktiviert haben, können Sie in der Zertifikatsverwaltung vertrauenswürdige Zertifizierungsstellen für Ihren PC konfigurieren. Um dieses Dienstprogramm zu starten, öffnen Sie die Windows-Systemsteuerung, doppelklicken Sie auf Internetoptionen, wählen Sie die Registerkarte Inhalte aus, und klicken Sie anschließend auf die Schaltfläche Zertifikate.
- Wenn Sie den Windows-Zertifikatspeicher dagegen deaktiviert haben, wird Ihnen diese Meldung u. U. angezeigt, sofern Sie noch keine Zertifikate in den Reflection-Zertifikatspeicher importiert haben. Mit den Optionen der Registerkarte Vertrauenswürdige Zertifizierungsstellen im Reflection-Zertifikatmanager können Sie Ihre Liste vertrauenswürdiger Zertifizierungsstellen verwalten.
- Das Serverzertifikat des Hosts ist abgelaufen.
- Bei der Überprüfung auf zurückgezogene Serverzertifikate wird keine gültige Antwort zurückgegeben. Diese Meldung wird angezeigt, wenn das entsprechende Zertifikat abgelaufen ist. Wenn das Zertifikat noch gültig ist, deutet die Meldung eventuell darauf hin, dass Reflection den OCSP-Responder nicht erreicht oder die CRL-Datei nicht abgerufen werden kann.
Schritte für die Fehlerbehebung
- Fügen Sie die Zertifizierungsstelle der Liste Vertrauenswürdige Zertifizierungsstellen entweder für den Reflection- oder den Windows-Zertifikatspeicher hinzu.
- Fügen Sie die Zertifizierungsstelle der Liste Vertrauenswürdige Zertifizierungsstellen für den Reflection-Zertifikatspeicher hinzu.
- Benachrichtigen Sie den Systemadministrator des Hosts, um ein neues Zertifikat anzufordern.
Der im SSL/TLS-Zertifikat des Hosts eingetragene Host-Name ist ein anderer als der Name des Hosts, mit dem eine Verbindung aufgebaut werden soll
Das vom Server bereitgestellte Zertifikat enthält keinen Hostnamen, der mit dem durch Sie (oder Ihren lokalen Sicherheitsanbieter, z. B. DNS) angegebenen Verbindungsziel übereinstimmt.
Bevor eine SSL-/TLS-Verbindung hergestellt wird, authentifiziert Reflection das Hostsystem. Das vom Host für diesen Zweck ausgegebene Zertifikat muss von einer vertrauenswürdigen Zertifizierungsstelle stammen. Wenn der PC die Zertifizierungsstelle nicht erkennt, kann keine SSL-/TLS-Verbindung aufgebaut werden.
Ursache(n)
Der in Reflection konfigurierte Hostname muss mit einem der Hostnamen übereinstimmen, die im Zertifikat im Feld für den allgemeinen Namen (CN) eingegeben wurden.
Schritte für die Fehlerbehebung
Wenn anstelle des Hostnamens die IP-Adresse eingegeben wurde, geben Sie jetzt den Hostnamen ein, und versuchen Sie erneut, die Verbindung herzustellen.
Wenn Sie einen Aliasnamen für den Host eingegeben haben (z. B. "meinhost"), geben Sie den vollständigen Hostnamen (z. B. "meinhost.domaene.de") ein, und versuchen Sie erneut, die Verbindung herzustellen. Wenn Sie eine Verbindung zu einem Host in einer anderen Domäne aufbauen, müssen Sie anstelle des gekürzten Aliasnamens in jedem Fall den vollständigen Hostnamen verwenden.
Fragen Sie Ihren Systemadministrator, ob das Zertifikat den Hostnamen enthalten muss. Wenn kein Hostname erforderlich ist, öffnen Sie im Dialogfeld Sicherheitseigenschaften die Registerkarte SSL/TLS, klicken Sie auf PKI konfigurieren, und deaktivieren Sie die Option Name des Zertifizierungshosts muß mit dem des angesprochenen Hosts übereinstimmen. Nehmen Sie diese Änderung nicht ohne Rücksprache mit einem Systemadministrator vor. Wenn Sie diese Option trotz der Verwendung von Hostnamen deaktivieren, führt dies zu einer Sicherheitsbeeinträchtigung bei Ihren Verbindungen.
Die folgenden Meldungen beziehen sich ausschließlich auf Verbindungen, die für die Verwendung der Kryptografie-API von Windows konfiguriert sind:
Die angeforderte SSL/TLS-Verschlüsselungsstärke ist auf diesem PC nicht vorhanden
Sie haben einen Verschlüsselungsalgorithmus mit einem höheren Verschlüsselungsgrad angegeben (oder verwenden eine Einstellungsdatei, die einen höheren Verschlüsselungsgrad festlegt), als für das System verfügbar ist. Dieser Fall tritt oft in internationalen Umgebungen auf, in denen der Systemadministrator Verschlüsselungsgrade für die USA festgelegt hat, die Betriebssysteme der außerhalb der USA befindlichen Endbenutzer aber lediglich schwächere Verschlüsselungsgrade (gemäß US-Exportbeschränkungen) unterstützen.
Schritte für die Fehlerbehebung
- Wählen Sie einen niedrigeren Verschlüsselungsgrad aus, oder verwenden Sie die Einstellung Standard.
Reflection-SSL/TLS-Bibliothek (RSCAPI.DLL) fehlt oder ist beschädigt
Die Datei RSCAPI.DLL konnte nicht geladen werden.
Ursache(n)
- Die Datei RSCAPI.DLL ist beschädigt oder nicht vorhanden.
Schritte für die Fehlerbehebung
- Reparieren Sie die beschädigte Datei mithilfe von Microsoft Windows Installer. Starten Sie das Applet Software der Systemsteuerung, und reparieren Sie Ihre Reflection-Installation.
Erforderliche SSL/TLS-Verschlüsselungsbibliotheken von Microsoft sind nicht vorhanden oder sind beschädigt
Mindestens eine DLL (Dynamic Link Library), die für das Microsoft Cryptographic API-Modul erforderlich ist, ist im System nicht vorhanden.
Ursache(n)
- Das System enthält beschädigte Versionen einer oder mehrerer Verschlüsselungsbibliotheken von Microsoft. Möglicherweise wurden diese Dateien manipuliert, oder sie sind aus unbekannten Gründen beschädigt.
- Ihr System verfügt nicht oder nur teilweise über die erforderlichen Bibliotheken. Möglicherweise verwenden Sie ein Betriebssystem (z. B. Windows 95/98), das den Zugriff auf die Verschlüsselungsbibliotheken nicht unterstützt.
Schritte für die Fehlerbehebung
- Installieren Sie Internet Explorer und/oder das Betriebssystem neu, um das Problem zu beheben.
- Führen Sie ein Upgrade des Betriebssystems aus.
Erforderliche SSL/TLS-Bibliothek von Microsoft (SECURITY.DLL) ist nicht vorhanden oder ist beschädigt
Auf dem PC fehlt die Microsoft-Datei Security.dll.
Ursache(n)
- In Ihrem System befinden sich beschädigte Versionen der SSPI-Bibliothek von Microsoft. Möglicherweise wurden diese Dateien manipuliert, oder sie sind aus unbekannten Gründen beschädigt.
- Ihr System verfügt nicht über die erforderliche SSPI-Bibliothek von Microsoft. Möglicherweise verwenden Sie ein Betriebssystem (z. B. Windows 95/98), das den Zugriff auf die Verschlüsselungsbibliotheken nicht unterstützt.
Schritte für die Fehlerbehebung
- Installieren Sie Internet Explorer und/oder das Betriebssystem neu, um das Problem zu beheben.
- Führen Sie ein Upgrade des Betriebssystems aus.
Erforderliche SSPI-Bibliothek von Microsoft ist nicht vorhanden oder ist beschädigt
Mindestens eine DLL (Dynamic Link Library), die für die Microsoft Security Service Provider-Schnittstelle (SSPI) erforderlich ist, ist auf dem PC nicht vorhanden.
Ursache
Ihr System verfügt nicht über die für den Zugriff auf SSPI erforderlichen DLLs von Microsoft. Offenbar ist bzw. sind eine oder mehrere Dateien Ihres Betriebssystems stark beschädigt.
Schritte für die Fehlerbehebung
Möglicherweise müssen Sie das Betriebssystem neu installieren.
|