IIS 6.0: 计算机必须信任受信任的单个站点的所有证书颁发机构

文章翻译 文章翻译
文章编号: 332077 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

如果您 Internet Information Services (IIS) 5.0,服务器升级到与 IIS 6.0 Microsoft Windows Server 2003 时要求客户端证书上的网站连接到该站点的客户端可能会收到以下错误消息之一即使客户端证书不受证书信任列表 (CTL):
HTTP 403.16 禁止访问: 客户端证书不受信任或无效。
HTTP 403.16 禁止访问: 客户端证书格式不正确或不受 web 服务器。
HTTP 错误 403.7: 禁止访问: 是必需的 SSL 客户端证书。
当客户端访问的网站时,客户端可能不会收到 客户端身份验证 对话框 (客户端身份验证 对话框允许您选择要用来访问该站点的客户端证书) 在浏览器中。如果客户端接收 客户端身份验证 对话框中,在 客户端身份验证 对话框中的证书列表可能不会列出客户端证书。

原因

如果客户端证书由 IIS 计算机不信任的证书颁发机构创建的则可能发生这种情况。

更多信息

在 IIS 5.0 中,您可以指定包含证书颁发机构的根证书颁发机构证书安装在本地计算机的个人证书存储区中的一个 CTL。然而,在 IIS 6.0 中,必须在本地计算机受信任的根证书颁发机构证书存储中安装根证书颁发机构证书。这种更改与 IIS 6.0 验证证书基于在加密 API 中指定的规则。 如果在本地计算机受信任的根证书颁发机构证书存储中没有安装根证书颁发机构证书加密 API 将拒绝证书。

解决方案

若要解决该错误,并显示在浏览器中的证书必须在本地计算机受信任的根证书颁发机构证书存储中安装根证书颁发机构证书。
  1. 添加证书管理单元为本地计算机执行以下操作:
    1. 单击 开始、 单击 运行,键入 mmc,然后单击 确定
    2. 文件 菜单上单击 添加/删除管理单元,然后单击 添加
    3. 管理单元,下双击 证书、 选择 计算机帐户,然后单击 下一步
    4. 选择 本地计算机 并单击 完成,然后单击 关闭
    5. 单击 确定 以退出向导。
  2. 从本地计算机个人证书存储区导出证书:
    1. 在管理单元为本地计算机,双击 证书 (本地计算机)、 双击 个人,然后双击 证书
    2. 用鼠标右键单击该根证书颁发机构证书的证书颁发机构颁发证书的客户端的、 单击 所有任务,然后单击以打开证书导出向导中的 导出
    3. 单击 下一步,选择一种格式用于导出,指定要用来存储导出的证书,单击 下一步,然后单击 完成 的目录。

      注意如果证书颁发机构不是基于 Microsoft Windows 2000 的服务器,DER 编码二进制 X.509 格式和 Base64 编码 X.509 格式用于互操作性。 如果您不知道证书颁发机构类型,使用下列格式之一。
  3. 将证书导入到本地计算机受信任的根证书颁发机构证书存储中:
    1. 在管理单元为本地计算机,双击 受信任的根证书颁发机构、 双击 证书、 用鼠标右键单击 所有任务,然后单击启动证书导入向导 导入
    2. 单击 下一步,指定您在步骤 2,创建导出的证书,然后单击 打开
    3. 单击 下一步。请 将所有的证书放入下列存储区 处于选中状态,并且该 证书存储区 列出了 受信任的根证书颁发机构
    4. 单击 下一步,然后单击 完成
此错误消息也可能表明管理员以前已配置一个特定的信任列表通过选中 启用证书信任列表 复选框,并通过填充对话框中的一个或多个根证书。如果选中该 l 启用证书信任列表 复选框,则验证在列表中显示的预期的服务器证书。这包括所有续订的证书。若要这样做,请按照下列步骤操作:
  1. 打开 Internet Information Services 管理控制台,用鼠标右键单击该网站遇到错误,然后单击 属性
  2. 单击 目录安全性 选项卡。
  3. 安全通信,下单击 编辑
  4. 如果选中了 启用证书信任列表 复选框,并将填充 当前 CTL 字段可以执行以下任务:
    1. 单击以清除 启用证书信任列表 复选框。这将启用 IIS 以使用服务器证书存储区中的所有证书。
    2. 单击 编辑,并按照证书信任列表向导以添加适当的服务器证书中提示进行操作。

      注意CTL 中填充了服务器证书存储区中的一个或多个证书时,编辑 才可用。
    3. 当系统提示您,请单击 确定
  5. 测试要求客户端证书的页。

参考

可用产品文档中有关 ctl 的详细信息。若要访问此文档,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/windowsserver/default.aspx
您还可以访问产品文档通过 IIS 管理器。有关如何访问此信息帮助功能,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815127如何访问 IIS 6.0 帮助文档

属性

文章编号: 332077 - 最后修改: 2007年12月3日 - 修订: 3.6
这篇文章中的信息适用于:
  • Microsoft Internet Information Server 1.01
  • Microsoft Internet Information Services 6.0
关键字:?
kbmt kbpending kbprb KB332077 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 332077
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com