IIS 6.0 : ordinateur doit approuver toutes les autorités de certification approuvées par des sites individuels

Traductions disponibles Traductions disponibles
Numéro d'article: 332077 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Si vous avez un site Web sur Internet Information Services (IIS) 5.0 nécessitant des certificats client, lorsque vous mettez à niveau le serveur vers Windows Server 2003 avec IIS 6.0, clients qui se connectent au site peuvent recevoir l'un des messages d'erreur suivant même si les certificats de client non contrôlés par une liste de certificats de confiance (CTL) :
HTTP 403.16 refusé : client certificat non approuvé ou non valide.
Client HTTP 403.16 refusé : certificat est mal formé ou n'est pas approuvé par le serveur web.
HTTP Erreur 403.7 : interdit : certificat client SSL est requis.
Lorsque le client accède au site Web, le client peut ne recevez pas de la boîte de dialogue Authentification du client dans le navigateur (la boîte de dialogue Authentification du client permet de sélectionner le certificat client que vous souhaitez utiliser pour accéder au site). Si le client reçoit la boîte de dialogue Authentification du client , la liste de certificat dans la boîte de dialogue Authentification du client peut ne répertorie pas le certificat client.

Cause

Cela peut se produire si le certificat client a été créé par une autorité de certification n'approuve pas de l'ordinateur IIS.

Plus d'informations

Dans IIS 5.0, vous pouvez spécifier une liste qui contient les autorités de certification dont certificats autorité de certification racine sont installés dans le magasin de certificats personnels de l'ordinateur local. Toutefois, dans IIS 6.0, les certificats d'autorité de certification racine doivent être installés dans le magasin de certificats autorités de certification racines de confiance l'ordinateur local. Avec cette modification, IIS 6.0 vérifie les certificats basés sur les règles qui sont spécifiés dans l'API de chiffrement. Le chiffrement API rejette les certificats si les certificats d'autorité de certification racines ne sont pas installés dans le magasin de certificats autorités de certification racines de confiance l'ordinateur local.

Résolution

Pour résoudre l'erreur et afficher le certificat dans le navigateur, vous devez installer le certificat de l'autorité de certification racine dans le magasin de certificats d'Autorités de certification racine de confiance ordinateur local.
  1. Ajouter un composant logiciel enfichable Certificats pour l'ordinateur local :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez mmc et puis cliquez sur OK .
    2. Dans le menu Fichier , cliquez sur Ajouter/Supprimer un composant logiciel enfichable , puis cliquez sur Ajouter .
    3. Sous composant logiciel enfichable , double-cliquez sur les certificats , sélectionnez compte d'ordinateur et puis cliquez sur suivant .
    4. Sélectionnez ordinateur local , cliquez sur Terminer et cliquez sur Fermer .
    5. Cliquez sur OK pour quitter l'Assistant.
  2. Exporter le certificat du magasin de certificats personnels ordinateur local :
    1. Dans le composant logiciel enfichable de l'ordinateur local, double-cliquez sur les certificats (ordinateur local) , double-cliquez sur personnel et puis double-cliquez sur les certificats .
    2. Cliquez avec le bouton droit sur le certificat d'autorité de certification racine pour l'autorité de certification qui émet des certificats le client, cliquez sur Toutes les tâches et cliquez sur Exporter pour ouvrir l'Assistant Exportation de certificat.
    3. Cliquez sur suivant , sélectionnez un format de l'exportation, spécifiez le répertoire dans lequel vous souhaitez stocker le certificat exporté, cliquez sur suivant , puis cliquez sur Terminer .

      note Le format codé DER des X.509 binaire et le format X.509 crypté en Base64 sont utilisés pour l'interopérabilité Si l'autorité de certification n'est pas un serveur Windows 2000. Si vous ne connaissez pas le type d'autorité de certification, utilisez une de ces formats.
  3. Importer le certificat au magasin de certificats d'Autorités de certification racines de confiance ordinateur local :
    1. Dans le composant logiciel enfichable de l'ordinateur local, double-cliquez sur Autorités de certification racine de confiance , double-cliquez sur certificats , cliquez avec le bouton droit sur Toutes les tâches et puis cliquez sur Importer pour démarrer l'Assistant Importation de certificat.
    2. Cliquez sur suivant , spécifiez le certificat exporté que vous avez créé à l'étape 2 et puis cliquez sur Ouvrir .
    3. Cliquez sur suivant . Vérifiez que placer tous les certificats dans le magasin suivant est sélectionnée et que ce magasin de certificats répertorie les Autorités de certification racines de confiance .
    4. Cliquez sur suivant , puis cliquez sur Terminer .
Cette message d'erreur peut aussi indiquer que l'administrateur a configuré précédemment une liste spécifique de confiance en activant la case à cocher Activer la liste de certificats de confiance et en lors du remplissage de la boîte de dialogue avec un ou plusieurs certificats racine. Si la case à cocher Activer la liste de certificats de confiance est activée, vérifiez que le certificat de serveur attendu apparaît dans la liste. Cela inclut tous les nouveaux certificats. Pour ce faire, procédez comme suit :
  1. Ouvrez la console Gestion des services Internet (IIS), cliquez avec le bouton droit sur le site Web qui rencontre l'erreur et puis cliquez sur une propriété .
  2. Cliquez sur l'onglet Sécurité de répertoire .
  3. Sous protocole de communication , cliquez sur Modifier .
  4. Si la case à cocher Activer la liste de certificats de confiance est sélectionnée et le champ de liste en cours est renseigné, vous pouvez effectuer les tâches suivantes :
    1. Cliquez pour désactiver la case à cocher Activer la liste de certificats de confiance . Cela permettra IIS à utiliser tous les certificats dans le magasin de certificats serveur.
    2. Cliquez sur Modifier et suivez les invites de l'autorisation Assistant Liste de certificats pour ajouter le certificat de serveur approprié.

      note modifier est disponible uniquement lorsque la liste est remplie avec un ou plusieurs certificats du magasin de certificats de serveur.
    3. Cliquez sur OK lorsque vous êtes invité.
  5. Tester une page qui nécessite un certificat client.

Références

Plus d'informations sur la CTL sont disponibles dans la documentation du produit. Pour afficher cette documentation, reportez-vous au site de Web Microsoft suivant :
http://technet.microsoft.com/en-us/windowsserver/default.aspx
Vous pouvez également accéder à la documentation du produit par le biais du Gestionnaire IIS. Pour plus d'informations sur la façon d'accéder à cette aide fonctionnalité, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances :
815127 L'accès aux documentation de l'aide de IIS 6.0

Propriétés

Numéro d'article: 332077 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 3.6
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Server 1.01
  • Microsoft Internet Information Services 6.0
Mots-clés : 
kbmt kbpending kbprb KB332077 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 332077
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com