IIS 6.0: Computador deve confiar em todas as autoridades de certificação fidedignos sites individuais

Traduções de Artigos Traduções de Artigos
Artigo: 332077 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Se tiver um Web site no (IIS) 5.0 que requer certificados de cliente, quando actualiza o servidor para o Microsoft Windows Server 2003 com o IIS 6.0, os clientes que liga ao site poderão receber uma das seguintes mensagens de erro mesmo se os certificados de cliente não são controlados por uma lista fidedigna de certificados (CTL, Certificate Trust List):
HTTP 403.16 proibido: Cliente certificado não fidedigno ou inválido.
Cliente HTTP 403.16 proibido: Certificado é construído ou não é fidedigno para o servidor web.
Erro de HTTP 403.7: Proibido: é necessário certificado de cliente SSL.
Quando o cliente acede o Web site, o cliente poderá não receber a caixa de diálogo Autenticação de cliente no browser (a caixa de diálogo Autenticação de cliente permite-lhe para seleccionar o certificado de cliente que pretende utilizar para aceder ao site). Se o cliente recebe a caixa de diálogo Autenticação de cliente , a lista de certificados na caixa de diálogo Autenticação de cliente não pode listar o certificado de cliente.

Causa

Isto pode ocorrer se o certificado de cliente foi criado por uma autoridade de certificação que o computador IIS não fidedigna.

Mais Informação

No IIS 5.0, pode especificar uma CTL que contém as autoridades de certificação cujos certificados de autoridade de certificação de raiz instalados no arquivo de certificados pessoais do computador local. No entanto, no IIS 6.0, os certificados de autoridade de certificação de raiz tem de estar instalados no arquivo de certificados Autoridades de certificação de raiz fidedigna de computador local. Com esta alteração, o IIS 6.0 verifica certificados com base nas regras são especificadas na encriptação API. A criptografia API rejeita certificados se os certificados de autoridade de certificação de raiz não são instalados no arquivo de certificados Autoridades de certificação de raiz fidedigna do computador local.

Resolução

Para resolver o erro e apresentar o certificado no browser, tem de instalar o certificado da autoridade de certificação raiz no arquivo de certificados Autoridades de certificação de raiz fidedigna de computador local.
  1. Adicione um snap-in Certificados para o computador local:
    1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
    2. No menu ficheiro , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
    3. Em snap-in , faça duplo clique em certificados , seleccione a conta de computador e, em seguida, clique em seguinte .
    4. Seleccionar computador local , clique em Concluir e, em seguida, clique em Fechar .
    5. Clique em OK para sair do assistente.
  2. Exporte o certificado do arquivo de certificados pessoais do computador local:
    1. No snap-in para o computador local, faça duplo clique em certificados (computador local) , faça duplo clique em pessoal e, em seguida, faça duplo clique em certificados .
    2. Clique com o botão direito do rato o certificado raiz da autoridade de certificação para a autoridade de certificação que emite certificados de cliente, clique em Todas as tarefas e clique em Exportar para abrir o Assistente para exportar certificados.
    3. Clique em seguinte , seleccione um formato para a exportação, especificar o directório onde pretende armazenar o certificado exportado, clique em seguinte e, em seguida, clique em Concluir .

      Nota O formato de DER binário X.509 codificado e o formato X.509 codificado em Base64 são utilizados para fins de interoperabilidade se a autoridade de certificação não é um servidor baseado no Microsoft Windows 2000. Se não souber o tipo de autoridade de certificação, utilize um destes formatos.
  3. Importe o certificado para arquivo de certificados Autoridades de certificação de raiz fidedigna do computador local:
    1. No snap-in para o computador local, faça duplo clique em Autoridades de certificação de raiz fidedigna , faça duplo clique em certificados , clique com o botão direito do rato em Todas as tarefas e, em seguida, clique em Importar para iniciar o Assistente para importar certificados.
    2. Clique em seguinte , especifique o certificado exportado que criou no passo 2 e, em seguida, clique em Abrir .
    3. Clique em seguinte . Verifique se Coloque todos os certificados no seguinte arquivo está seleccionada e lista desse Arquivo de certificados Autoridades de certificação de raiz fidedigna .
    4. Clique em seguinte e, em seguida, clique em Concluir .
Esta mensagem de erro também poderá indicar que o administrador configurou previamente uma lista fidedigna específica seleccionando a caixa de verificação Activar lista fidedigna de certificados e por preencher a caixa de diálogo com um ou mais certificados de raiz. Se estiver seleccionada a caixa de verificação Activar lista fidedigna de certificados , verifique se o certificado de servidor esperado é apresentado na lista. Isto inclui renovados todos os certificados. Para o fazer, siga estes passos:
  1. Abra a consola Gestão de serviços de informação Internet (IIS), clique com o botão direito do rato no Web site que está a ocorrer o erro e, em seguida, clique em Propriedades .
  2. Clique no separador Segurança de directórios .
  3. Em comunicações seguras , clique em Editar .
  4. Se seleccionar a caixa de verificação Activar lista fidedigna de certificados e o campo de CTL actual é preenchido, pode efectuar as seguintes tarefas:
    1. Clique para desmarcar a caixa de verificação Activar lista fidedigna de certificados . Isto irá activar o IIS para utilizar todos os certificados no arquivo de certificados de servidor.
    2. Clique em Editar e siga as instruções no Assistente de certificados fidedignidade lista para adicionar o certificado de servidor adequado.

      Nota Editar só está disponível quando a CTL estiver preenchida com um ou mais certificados do arquivo de certificados de servidor.
    3. Clique em OK quando lhe for pedido.
  5. Teste uma página que requer um certificado de cliente.

Referências

Mais informações sobre CTL, Certificate Trust List estão disponíveis na documentação do produto. Para ver esta documentação, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/windowsserver/default.aspx
Também pode aceder a documentação do produto através do Gestor de IIS. Para mais informações sobre como aceder a esta funcionalidade de ajuda, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
815127Como aceder a documentação de ajuda do IIS 6.0

Propriedades

Artigo: 332077 - Última revisão: 3 de dezembro de 2007 - Revisão: 3.6
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Server 1.01
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbmt kbpending kbprb KB332077 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 332077

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com