创建 TLS 客户端凭据时发生致命错误

---

监控软件会向您触发错误事件 ID 36871：创建 TLS 客户端凭据时发生致命错误。内部错误状态为10013。在本文中，您将了解为什么会发生这种情况，以及创建 TLS 客户端凭据时发生致命错误的解决方案。

创建 TLS 客户端凭据时发生致命错误

登录 Windows Server 并启动事件查看器。导航至Windows 日志> 系统。您将看到错误事件 ID 36871。创建 TLS 客户端凭据时发生致命错误。内部错误状态为 10013。

为什么我们会收到此错误，以及创建 TLS 客户端凭据时发生致命错误的解决方案是什么。内部错误状态是10013？

检查传输层安全协议

Schannel 是一个安全支持提供商 (SSP)，它实现安全套接字层 (SSL) 和传输层安全 (TLS) Internet 标准身份验证协议。

下载 Nartac Software 的 IIS Crypto GUI。下载应用程序后，启动应用程序。

我们看到服务器协议和客户端协议 TLS 1.0 和 TLS 1.1 未被选中。

如果我们点击最佳实践，它将启用服务器协议和客户端协议 TLS 1.0 和 TLS 1.1。重新启动后，事件错误将不会显示。这样做时，我们解决了问题，但启用了已弃用的协议。这就是我们不想要的。

那么，我们如何保持 TLS 1.0 和 TLS 1.1 未被选中（禁用）而不显示致命错误 TLS 客户端凭据 10013？

传输层安全协议状态

查看安全协议列表及其发布时间，包括当前状态。

注意：仅批准 TLS 1.3 和 TLS 1.2。协议 TLS 1.3 仅可在 Windows Server 2022 或更高版本中启用。

ProtocolPublishedStatusSSL 2.01995Deprecated in 2011SSL 3.01996Deprecated in 2015TLS 1.01999Deprecated in 2020TLS 1.12006Deprecated in 2020TLS 1.22008ApprovedTLS 1.32018Approved

创建 TLS 客户端凭据时发生致命错误的解决方案

现在我们收集了所有信息，我们将通过运行脚本在系统上启用 TLS 1.2。重新启动后，我们将检查事件查看器。它不应该显示任何错误。

以管理员身份运行 PowerShell。下载 Enable-TLS1.2.ps1 PowerShell 脚本并从 PowerShell 运行它。另一种方法是复制以下 PowerShell 脚本。

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor Cyan

将脚本粘贴到 PowerShell ISE 中并运行该脚本。

重新启动 Windows 服务器。

启动事件查看器。展开Windows 日志，然后单击系统。错误“事件 ID 36871：创建 TLS 客户端凭据时发生致命错误。内部错误状态为 10013。” 不再显示。

对你有用吗？

结论

您了解了创建 TLS 客户端凭据时发生致命错误的原因。内部错误状态为10013。此问题的解决方案是在Windows Server 上配置TLS 1.2。之后，您在事件查看器中不会看到事件 ID 36871 错误。

您喜欢这篇文章吗？您可能还喜欢如何在 Windows Server 上启用 TLS 1.2。不要忘记关注我们并分享这篇文章。