文章編號: 294305 - 上次校閱: 2007年12月3日 - 版次: 4.4

IIS 傳回 HTTP 「 403.13 用戶端憑證撤銷 」 錯誤訊息,雖然不撤銷憑證

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

徵狀

當您瀏覽至設定為需要用戶端憑證的網站時,您可能會收到下列的 HTTP 錯誤訊息,即使您是確定用戶端憑證未遭撤銷:
403.13 用戶端憑證被撤銷
回此頁最上方

發生的原因

預設情況下,網際網路資訊服務 (IIS) 會檢查看看會呈現用戶端憑證已被撤銷。它會藉由下載用戶端憑證的憑證撤銷清單 (CRL) 從一個憑證發佈點 」 (CDP) 列出用戶端憑證的一部分。如果 IIS 是無法下載至少一個用戶端憑證的 CRL,HTTP 錯誤訊息會顯示在用戶端瀏覽器。
回此頁最上方

解決方案

已列出的 CDP 的鏈結中每個憑證,請確定 IIS 是能夠下載至少一個 CRL。這通常涉及調整防火牆、 Proxy 或網域名稱伺服器 (DNS) 設定,以承認必要流量 ; 取決於通訊協定,這可以是超文字傳輸通訊協定 (HTTP) 或遠端程序呼叫 (RPC)。請注意 Web 伺服器都必須能夠解析 CRL,即使用戶端瀏覽器可以解析 CRL,因為 Web 伺服器為提供服務需要用戶端憑證之 HTTP 要求。

若要避免 HTTP 403.13 錯誤訊息,執行下列其中一項:
  • 讓 IIS 下載 CRL。要這麼做,請您執行下列步驟:
    1. 從用戶端瀏覽器中刪除任何重複的用戶端憑證 (也就是用戶端憑證從相同的憑證授權單位所發出)。
    2. 開始就擁有用戶端憑證,並繼續向上憑證路徑。在伺服器上的瀏覽器中貼上每個憑證的 CDP HTTP 參照。如果檔案無法下載,了 CDP 注意 的問題: 連按兩下 [憑證路徑來檢視它的內容中的每個憑證。

    3. 使用 PING、 Tracert.exe 或 Wfetch.exe 公用程式來識別任何名稱解析或網路延遲遇到的問題時連絡問題 CDP。
    4. 尋找問題的 CDP 的 [IP 位址,並加入 HOSTS 檔案 IIS 電腦上的項目。這應該讓 IIS 下載 CRL 及解決這種錯誤。
    5. 用戶端憑證的憑證路徑中每個憑證,重複執行這些步驟。
  • 如果涉及 Proxy 電腦變更帳戶,用來啟動 IIS,網域系統管理員帳戶,然後重新啟動 IIS 管理服務。如果可以解決此問題]、 [本機系統] 帳戶] 或 [定期用來啟動 IIS 的帳戶,並沒有足夠的權限來存取網際網路 Proxy 伺服器上。
回此頁最上方

其他相關資訊

若要欲憑證的 CDP 請依照下列步驟執行:
  1. 在 Microsoft Internet Explorer 中按一下 [工具] 功能表上的 [網際網路選項]。
  2. 在 [內容] 索引標籤上按一下 [憑證]。
  3. 在 [個人] 索引標籤上按兩下 [用戶端憑證]。
  4. 按一下用戶端憑證,以顯示每個憑證路徑中的 [憑證路徑] 索引標籤。
  5. 連按兩下每個憑證,然後按一下 [詳細資料] 索引標籤。[CRL 發佈點] 欄位所包含的清單來下載路徑的項目: 如果沒有列出一個 CDP 就繼續到下一個較高憑證路徑中。 該關聯的.crl 檔案。 注意
如果出現在憑證路徑的一部分的憑證是 CDP 延伸,IIS 必須能夠下載至少一個 [CRL。如果 IIS 是無法解析 CRL,則會傳回 HTTP 403.13 錯誤。

範例 CRL 發佈點:
[1]CRL Distribution Point
     Distribution Point Name:
          Full Name:
               URL=http://server.domain.com/CertEnroll/server%20Root%20CA.crl<BR/><BR/>

[2]CRL Distribution Point
     Distribution Point Name:
          Full Name:
               URL=file://\\server2.domain.com\CertEnroll\server2%20Root%20CA.crl
回此頁最上方

參考

如需有關 Wfetch.exe,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
284285? (http://support.microsoft.com/kb/284285/ ) 如何使用 Wfetch.exe HTTP 連線的疑難排解
CertCheckMode IIS Metabase 屬性啟用或停用憑證撤銷清單 (CRL) 檢查。當 CertCheckMode 設定為一個值大於 0 時,CRL 就不會搜尋已撤銷的憑證。當 CertCheckMode 等於 0 時 CRL 會搜尋已撤銷的憑證。如需詳細資訊請參閱協助在線上的 IIS CertCheckMode 」 主題。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 7.0
回此頁最上方
關鍵字:?
kbmt kbpending kbprb KB294305 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:294305? (http://support.microsoft.com/kb/294305/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。