IIS 6.0: O computador deve confiar em todas as autoridades de certificação confiáveis para sites individuais

Traduções deste artigo Traduções deste artigo
ID do artigo: 332077 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Se você tiver um site no (IIS) 5.0 que requer certificados de cliente, quando você atualiza o servidor para o Windows Server 2003 com o IIS 6.0, clientes que se conectar ao site podem receber uma das seguintes mensagens de erro mesmo se os certificados de cliente não são controlados por uma lista de certificados confiáveis (CTL):
HTTP 403.16 Proibido: Cliente certificado não confiável ou é inválido.
Cliente HTTP 403.16 Proibido: Certificado está mal formado ou não é confiável pelo servidor da web.
Erro HTTP 403.7: Proibido: o certificado de cliente SSL é necessário.
Quando o cliente acessa o site, o cliente não pode receber a caixa de diálogo Autenticação de cliente no navegador (a caixa de diálogo Autenticação de cliente permite que você selecione o certificado de cliente que você deseja usar para acessar o site). Se o cliente recebe a caixa de diálogo Autenticação de cliente , a lista de certificado na caixa de diálogo Autenticação de cliente pode não lista o certificado de cliente.

Causa

Isso pode ocorrer se o certificado de cliente foi criado por uma autoridade de certificação que o computador IIS não confia.

Mais Informações

No IIS 5.0, você pode especificar uma lista que contém as autoridades de certificação cujos certificados de autoridade de certificação de raiz são instalados no armazenamento de certificados pessoais do computador local. Entretanto, no IIS 6.0, os certificados de autoridade de certificação raiz devem ser instalados no armazenamento de certificados de autoridades de certificação raiz confiáveis do computador local. Com essa alteração, o IIS 6.0 verifica certificados com base nas regras são especificadas na crypto API. A API de criptografia rejeita certificados se os certificados de autoridade de certificação raiz não estiverem instalados no armazenamento de certificado de autoridades de certificação raiz confiáveis computador local.

Resolução

Para resolver o erro e exibir o certificado no navegador, instale o certificado de autoridade de certificação raiz de armazenamento de certificados de autoridades de certificação raiz confiáveis do computador local.
  1. Adicione um snap-in de certificado para o computador local:
    1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
    2. No menu arquivo , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
    3. Em snap-in , clique duas vezes em certificados , selecione conta de computador e em seguida, clique em Avançar .
    4. Selecione computador local , clique em Concluir e, em seguida, clique em Fechar .
    5. Clique em OK para sair do assistente.
  2. Exporte o certificado do armazenamento de certificado pessoal do computador local:
    1. No snap-in para o computador local, clique duas vezes em certificados (computador local) , clique duas vezes em pessoal e, em seguida, clique duas vezes em certificados .
    2. Clique com o botão direito do mouse o certificado de autoridade de certificação raiz para a autoridade de certificação que emite certificados para o cliente, clique em Todas as tarefas e, em seguida, clique em Exportar para abrir o Assistente para exportação de certificados.
    3. Clique em Avançar , selecione um formato para a exportação, especifique o diretório onde você deseja armazenar o certificado exportado, clique em Avançar e, em seguida, clique em Concluir .

      Observação O formato X.509 de binário codificado DER e o formato X.509 codificado na Base64 são usados para fins de interoperabilidade, se a autoridade de certificação não for um servidor baseado no Microsoft Windows 2000. Se você não souber o tipo de autoridade de certificação, use um desses formatos.
  3. Importe o certificado para o armazenamento de certificados de autoridades de certificação raiz confiáveis do computador local:
    1. No snap-in para o computador local, clique duas vezes em Autoridades de certificação raiz confiáveis , clique duas vezes em certificados , clique com o botão direito do mouse Todas as tarefas e, em seguida, clique em Importar para iniciar o Assistente de importação de certificados.
    2. Clique em Avançar , especifique o certificado exportado que você criou na etapa 2 e, em seguida, clique em Abrir .
    3. Clique em Avançar . Verifique se colocar todos os certificados no armazenamento a seguir está selecionada e Armazenamento de certificados que lista Autoridades de certificação raiz confiáveis .
    4. Clique em Avançar e, em seguida, clique em Concluir .
Essa mensagem de erro também pode indicar que o administrador tiver configurado anteriormente uma lista de confiança específico marcando a caixa de seleção Ativar lista de certificados confiáveis e por preencher a caixa de diálogo com um ou mais certificados de raiz. Se a caixa de seleção Ativar lista de certificados confiáveis é selecionada, verificar que o certificado de servidor esperado aparece na lista. Isso inclui renovados todos os certificados. Para fazer isso, execute as seguintes etapas:
  1. Abra o console de gerenciamento do IIS, clique com o botão direito do mouse o site que está enfrentando o erro e em seguida, clique em Propriedades .
  2. Clique na guia Segurança de diretório .
  3. Em comunicações de segurança , clique em Editar .
  4. Se a caixa de seleção Ativar lista de certificados confiáveis é selecionada e o campo de Lista atual é preenchido, você pode fazer as seguintes tarefas:
    1. Clique para desmarcar a caixa de seleção Ativar lista de certificados confiáveis . Isso permitirá que IIS para usar todos os certificados no armazenamento de certificado do servidor.
    2. Clique em Editar e siga as instruções no Assistente de certificado confiança lista para adicionar o certificado de servidor apropriado.

      Observação Editar somente está disponível quando a lista é preenchida com um ou mais certificados do armazenamento de certificado de servidor.
    3. Clique em OK quando você for solicitado.
  5. Teste uma página que requer um certificado de cliente.

Referências

Mais informações sobre CTLs estão disponíveis na documentação do produto. Para consultar essa documentação, visite o seguinte site:
http://technet.microsoft.com/en-us/windowsserver/default.aspx
Você também pode acessar a documentação do produto pelo Gerenciador do IIS. Para obter mais informações sobre como acessar esse recurso de Ajuda, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
815127Como acessar a documentação de Ajuda do IIS 6.0

Propriedades

ID do artigo: 332077 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 3.6
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Server 1.01
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbmt kbpending kbprb KB332077 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 332077

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com