如何解决 Windows 2016 中的 TLS 客户端凭据创建失败问题（错误代码 10013）？

解决 Windows 2016 中 TLS 客户端凭据创建失败的问题：错误代码 10013

问题

在 Windows 2016 服务器上，当您尝试创建 TLS 客户端凭据时，您可能会遇到一个致命错误，内部错误状态为 10013。这表明服务器无法创建必要的安全凭据，以建立安全的 TLS 连接。

原因

该错误通常是由以下原因引起的：

• 过期的 Windows 更新
• 注册表配置问题
• 缺少有效的安全证书
• 服务器或客户端防火墙阻止 TLS 连接
• FIPS 合规模式未启用

解决方案

要解决此问题，请尝试以下解决方案：

1. 安装最新更新

确保安装了所有可用的 Windows 更新，包括安全更新。

2. 检查注册表

检查以下注册表项的值：

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DefaultSecureProtocols
• 它应该设置为 00000a00。

3. 启用 FIPS 合规模式

• 在组策略编辑器中启用 FIPS 合规模式：计算机配置 > 管理模板 > Windows 组件 > 应用兼容性 > 启用联邦信息处理标准 (FIPS) 合规模式。

4. 检查安全证书

• 验证要建立连接的服务器拥有有效的安全证书。
• 检查证书链是否完整且受信任。

5. 禁用 OCSP stapling

• 创建以下注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters\DisableOcspStapling，并将其值设置为 1。

6. 重置 WinHTTP 设置

• 使用以下命令重置 WinHTTP 设置：
  • netsh winhttp reset proxy
  • netsh winhttp reset client-auth

7. 联系 Microsoft 支持

• 如果上述解决方案不起作用，请联系 Microsoft 支持以获取进一步的帮助。

常见问题解答

1. 为什么我会遇到此错误？

• 此错误可能是由于过期的更新、注册表配置问题、缺少安全证书或 FIPS 合规模式未启用等原因造成的。

2. 如何解决此错误？

• 按照上面列出的解决方案逐步操作。

3. 安装更新后我仍然遇到此错误，该怎么办？

• 检查注册表并启用 FIPS 合规模式。

4. 我仍然无法创建 TLS 客户端凭据，该怎么办？

• 检查服务器的 TLS 设置并确保它们与客户端兼容。禁用服务器或客户端防火墙，看看它是否能解决问题。

5. 我需要联系 Microsoft 支持吗？

• 如果上述解决方案不起作用，请联系 Microsoft 支持以获取进一步的帮助。