ID do artigo: 294305 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 4.4

IIS retorna HTTP "403.13 cliente certificados revogados" erro mensagem Embora o certificado não foi revogado

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sintomas

Quando você navega em um site que está definido para exigir certificados de cliente, você receberá a seguinte mensagem de erro HTTP mesmo se tiver certeza de que o certificado de cliente não foi revogado:
403.13 Cliente certificados revogados
Voltar para o início

Causa

Por padrão, o Internet Information Services (IIS) verifica se o certificado de cliente que está sendo apresentado foi revogado. Ele faz isso fazendo o download lista (certificados REVOGADOS do certificado de cliente) de um certificado ponto de distribuição (CDP) que é listado como parte do certificado de cliente. Se o IIS não puder fazer o download pelo menos um das CRLs do certificado de cliente, a mensagem de erro HTTP é exibida no navegador do cliente.
Voltar para o início

Resolução

Para cada certificado na cadeia que tenha um CDP listado, verifique se o IIS é capaz de fazer o download pelo menos uma CRL. Isso normalmente envolve ajustando as configurações de servidor DNS admitir o tráfego necessário, proxy ou firewall; dependendo do protocolo, isso pode ser HTTP (Hypertext Transfer Protocol) ou chamada de procedimento remoto (RPC). Observe que o servidor Web deve ser capaz de resolver a CRL mesmo se o navegador do cliente pode resolver a CRL porque o servidor Web está fornecendo serviços a solicitação HTTP que requer o certificado de cliente.

Para evitar a mensagem de erro HTTP 403.13, siga um destes procedimentos:
  • Habilite o IIS baixar a CRL. Para fazer isso, execute as seguintes etapas:
    1. Exclua qualquer certificado de cliente duplicados (isto é, certificados de cliente que são emitidos da mesma autoridade de certificação) do navegador do cliente.
    2. Iniciar com o certificado de cliente e continue até o caminho de certificação. Cole referência de HTTP de CDP do certificado cada no navegador no servidor. Se o arquivo falhar fazer o download, há um problema com o CDP. Observação : clique duas vezes em cada certificado no caminho de certificação para exibir suas propriedades.

    3. Use os utilitários PING, Tracert.exe ou Wfetch.exe para identificar qualquer nome resolução ou rede latência problemas que surgem quando entrar em contato com o CDP do problema.
    4. Localizar o endereço IP do problema CDP e adicione uma entrada para o arquivo HOSTS no computador IIS. Isso deve habilitar o IIS baixar a CRL e resolver o erro.
    5. Repita essas etapas para cada certificado no caminho de certificação do certificado de cliente.
  • Se um computador de proxy estiver envolvido, altere a conta que é usada para iniciar o IIS para uma conta de administrador de domínio e reinicie o serviço IIS Admin. Se isso resolver o problema, a conta do sistema local ou a conta que regularmente é usada para iniciar o IIS, não tem permissões suficientes no servidor proxy para acessar a Internet.
Voltar para o início

Mais Informações

Para exibir CDP do certificado, execute estas etapas:
  1. No Microsoft Internet Explorer, clique em Opções da Internet no menu Ferramentas .
  2. Na guia conteúdo , clique em certificados .
  3. Na guia pessoal , clique duas vezes o certificado de cliente.
  4. Clique na guia Caminho de certificação do certificado de cliente para exibir cada certificado no caminho.
  5. Clique duas vezes em cada um desses certificados e clique na guia detalhes . O campo de Ponto de distribuição de CRL contém entradas que listam o caminho para baixar o arquivo .CRL associado. Observação : se um CDP não estiver listado, vá para o certificado mais próximo no caminho.
Se uma extensão CDP estiver presente em um certificado que é parte do caminho de certificação, o IIS deve poder baixar pelo menos um das CRLs. Se o IIS é incapaz de resolver a CRL, ela retornará o erro HTTP 403.13.

pontos de distribuição de CRL exemplo: 
[1]CRL Distribution Point
     Distribution Point Name:
          Full Name:
               URL=http://server.domain.com/CertEnroll/server%20Root%20CA.crl<BR/><BR/>

[2]CRL Distribution Point
     Distribution Point Name:
          Full Name:
               URL=file://\\server2.domain.com\CertEnroll\server2%20Root%20CA.crl
Voltar para o início

REFERÊNCIAS

Para obter mais informações sobre Wfetch.exe, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
284285  (http://support.microsoft.com/kb/284285/ ) Como usar Wfetch.exe para solucionar problemas de conexões HTTP
A propriedade de metabase CertCheckMode ativa ou desativa a verificação de lista (certificados REVOGADOS). Quando CertCheckMode é definida como um valor maior que 0, a CRL não procura por certificados que foram revogados. Quando CertCheckMode é igual a 0, a CRL procura por certificados que foram revogados. Para obter mais informações, consulte o tópico "CertCheckMode" in do IIS on-line ajuda.
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 7.0
Voltar para o início
Palavras-chave: 
kbmt kbpending kbprb KB294305 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 294305  (http://support.microsoft.com/kb/294305/en-us/ )
Voltar para o início