IIS 6.0: Equipo debe confiar en todas entidades emisoras de confianza para sitios individuales

Seleccione idioma Seleccione idioma
Id. de artículo: 332077 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Si tiene un sitio Web en Internet Information Services (IIS) 5.0 que requiere certificados de cliente, cuando actualice el servidor a Microsoft Windows Server 2003 con IIS 6.0, los clientes que conectarse al sitio pueden recibir uno de los siguientes mensajes de error incluso si los certificados de cliente no están controlados por una lista de confianza de certificados (CTL):
HTTP 403.16 prohibido: Cliente certificado que no son de confianza o no es válido.
Cliente HTTP 403.16 prohibido: Certificado está mal formado o no confía en el servidor web.
HTTP Error 403.7: Prohibido: se requiere certificado de cliente SSL.
Cuando el cliente tiene acceso el sitio Web, el cliente no puede recibir el cuadro de diálogo Autenticación del cliente en el explorador (el cuadro de diálogo Autenticación del cliente permite seleccionar el certificado de cliente desea utilizar para tener acceso al sitio). Si el cliente recibe el cuadro de diálogo Autenticación del cliente , la lista de certificados en el cuadro de diálogo Autenticación del cliente no puede mostrar el certificado de cliente.

Causa

Esto puede ocurrir si creó el certificado de cliente por una autoridad de certificación no confía en el equipo IIS.

Más información

En IIS 5.0, puede especificar una CTL contiene emisoras cuyas certificados de autoridad raíz se instalan en el almacén de certificados personales del equipo local. Sin embargo, en IIS 6.0, los entidad emisora certificados raíz deben instalarse en el almacén de certificados entidades emisoras de certificados raíz de confianza del equipo local. Con este cambio, IIS 6.0 comprueba los certificados según las reglas que se especifican en el API de cifrado. La API de cifrado rechaza certificados si los entidad emisora certificados raíz no están instalados en el almacén de certificados entidades emisoras de certificados raíz de confianza del equipo local.

Solución

Para resolver el error y mostrar el certificado en el explorador, debe instalar el certificado de entidad emisora de certificados raíz en el almacén de certificados entidades emisoras de certificados raíz de confianza del equipo local.
  1. Agregar un complemento de certificados para el equipo local:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba mmc y, a continuación, haga clic en Aceptar .
    2. En el menú archivo , haga clic en Agregar o quitar complemento y, a continuación, haga clic en Agregar .
    3. En el complemento , haga doble clic en certificados , seleccione cuenta de equipo y, a continuación, haga clic en siguiente .
    4. Seleccione equipo local , haga clic en Finalizar y, a continuación, haga clic en Cerrar .
    5. Haga clic en Aceptar para salir del asistente.
  2. Exportar el certificado desde el almacén de certificados personales del equipo local:
    1. En el complemento para el equipo local, haga doble clic en certificados (equipo local) , haga doble clic en personal y, a continuación, haga doble clic en certificados .
    2. Haga clic con el botón secundario en el certificado de entidad emisora de certificados raíz para la entidad emisora de certificados emite certificados para el cliente, haga clic en Todas las tareas y, a continuación, haga clic en Exportar para abrir al Asistente para exportación de certificados.
    3. Haga clic en siguiente , seleccione un formato para la exportación, especificar el directorio donde desea almacenar el certificado exportado, haga clic en siguiente y, a continuación, haga clic en Finalizar .

      Nota El formato DER codificado X.509 binario y el formato X.509 codificado base 64 se utilizan para la interoperabilidad si la entidad emisora de certificados no es un servidor basado en Microsoft Windows 2000. Si no conoce el tipo de entidad emisora de certificados, utilice uno de estos formatos.
  3. Importar el certificado en el almacén de certificados entidades emisoras de certificados raíz de confianza del equipo local:
    1. En el complemento para el equipo local, haga doble clic en Entidades emisoras de certificados raíz de confianza , haga doble clic en certificados , haga clic con el botón secundario en Todas las tareas y, a continuación, haga clic en Importar para iniciar al Asistente para importación de certificados.
    2. Haga clic en siguiente , especifique el certificado exportado que creó en el paso 2 y, a continuación, haga clic en Abrir .
    3. Haga clic en siguiente . Compruebe que se Active todos los certificados en el siguiente almacén seleccionado y listas de ese Almacén de certificados de Entidades emisoras de certificados raíz de confianza .
    4. Haga clic en siguiente y, a continuación, haga clic en Finalizar .
Este mensaje de error también puede indicar que el administrador ha configurado previamente una lista de confianza específicos activando la casilla de verificación Habilitar la lista de certificados de confianza y rellenando el cuadro de diálogo con uno o más certificados de raíz. Si se selecciona la casilla de verificación Habilitar lista de certificados de confianza , compruebe que el certificado de servidor esperado aparece en la lista. Esto incluye renovados todos los certificados. Para ello, siga estos pasos:
  1. Abra la consola de administración de servicios de Internet Information Server, haga clic con el botón secundario del mouse en el sitio Web que está experimentando el error y a continuación, haga clic en Propiedades .
  2. Haga clic en la ficha Seguridad de directorios .
  3. En comunicaciones seguras , haga clic en Modificar .
  4. Si está activada la casilla de verificación Habilitar lista de certificados de confianza y el campo de CTL actual está lleno, puede realizar las tareas siguientes:
    1. Haga clic para desactivar la casilla de verificación Habilitar lista de certificados de confianza . Esto permitirá que IIS para utilizar todos los certificados en el almacén de certificados de servidor.
    2. Haga clic en Editar y siga las indicaciones del Asistente para certificados crear lista de confianza para agregar el certificado de servidor apropiado.

      Nota Editar sólo está disponible cuando se rellena la CTL con uno o más certificados del almacén de certificados de servidor.
    3. Haga clic en Aceptar cuando que se pida.
  5. Probar una página que requiere un certificado de cliente.

Referencias

Obtener más información acerca de CTL está disponible en la documentación del producto. Para ver esta documentación, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/windowsserver/default.aspx
Puede tener acceso también a la documentación del producto a través del Administrador de IIS. Para obtener más información sobre cómo tener acceso a esta característica de Ayuda, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815127Cómo obtener acceso a documentación de la Ayuda de IIS 6.0

Propiedades

Id. de artículo: 332077 - Última revisión: lunes, 03 de diciembre de 2007 - Versión: 3.6
La información de este artículo se refiere a:
  • Microsoft Internet Information Server 1.01
  • Servicios de Microsoft Internet Information Server 6.0
Palabras clave: 
kbmt kbpending kbprb KB332077 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 332077

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com