IIS renvoie HTTP « 403.13 Client certificat révoqué » erreur message bien que le certificat n’est pas révoqué

Symptômes

Lorsque vous accédez à un site Web qui est configurée pour exiger des certificats client, le message d’erreur HTTP suivant peut s’afficher même si vous êtes sûr que le certificat client n’a pas été révoqué :
403.13 certificat client résilié

Cause

Par défaut, Internet Information Services (IIS) vérifie si le certificat client présenté a été révoqué. Pour cela, il télécharge la liste de révocation de certificats (CRL) du certificat client à partir d'un Point de Distribution de certificats (CDP) qui est répertorié en tant que partie du certificat client. Si IIS est incapable de télécharger au moins une des listes de révocation de certificat du client, le message d’erreur HTTP est affiché dans le navigateur du client.

Résolution

Pour chaque certificat de la chaîne qui a un CDP répertorié, assurez-vous que IIS est en mesure de télécharger au moins une CRL. Cela implique généralement l’ajustement des paramètres de pare-feu, proxy ou serveur de nom de domaine (DNS) d’admettre le trafic nécessaire ; en fonction du protocole, cela peut être le protocole HTTP (Hypertext Transfer) ou appel de procédure distante (RPC). Notez que le serveur Web doit être en mesure de résoudre la liste CRL, même si le navigateur client peut résoudre la liste de révocation car le serveur Web traite la requête HTTP qui nécessite le certificat client.

Pour éviter le message d’erreur HTTP 403.13, effectuez l’une des opérations suivantes :

  • Permettre à IIS de télécharger la liste de révocation. Pour ce faire, procédez comme suit :
    1. Supprimer les certificats de client en double (c'est-à-dire, les certificats clients émis par la même autorité de certification) à partir du navigateur du client.
    2. Démarrer avec le certificat client et passez le chemin d’accès de certification. Coller la référence du CDP HTTP de chaque certificat dans le navigateur sur le serveur. Si le fichier ne parvient pas à télécharger, il existe un problème avec la protection continue des données. Remarque: double-cliquez sur chaque certificat dans le chemin d’accès de certification pour afficher ses propriétés.

    3. Utilisez les utilitaires PING, Tracert.exe ou Wfetch.exe pour identifier n’importe quel nom réseau ou la résolution de problèmes de latence qui surviennent lorsque vous contactez le problème CDP.
    4. Rechercher l’adresse IP du problème CDP et ajouter une entrée au fichier HOSTS sur l’ordinateur IIS. Cela doit permettre à IIS de télécharger la liste CRL et résoudre l’erreur.
    5. Répétez ces étapes pour chaque certificat de chemin d’accès de certification du certificat client.
  • Si un ordinateur proxy est impliqué, modifier le compte utilisé pour démarrer les services IIS à un compte d’administrateur de domaine et redémarrez le service IIS Admin. Si cela résout le problème, le compte système local ou le compte qui est régulièrement utilisé pour démarrer les services IIS, ne dispose pas d’autorisations suffisantes sur le serveur proxy pour accéder à Internet.

Plus d'informations

Pour afficher la protection continue des données d’un certificat, procédez comme suit :

  1. Dans Microsoft Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Dans l’onglet contenu , cliquez sur certificats.
  3. Sous l’onglet personnel , double-cliquez sur le certificat client.
  4. Cliquez sur l’onglet Chemin d’accès de Certification du certificat client pour afficher chaque certificat dans le chemin d’accès.
  5. Double-cliquez sur chacun de ces certificats et cliquez sur l’onglet Détails . Le champ Point de Distribution CRL contient des entrées qui répertorient le chemin d’accès pour télécharger le fichier .crl associé. Remarque: si une protection continue des données ne sont pas répertoriée, passez au certificat suivant supérieur dans le chemin d’accès.
Si une extension CDP est présente dans le certificat fait partie du chemin d’accès de certification, IIS doit être en mesure de télécharger au moins une des listes de révocation. Si IIS est incapable de résoudre la liste CRL, il renvoie l’erreur HTTP 403.13.

Points de Distribution CRL exemple :
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://server.domain.com/CertEnroll/server%20Root%20CA.crl<BR/><BR/>

[2]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=file://\\server2.domain.com\CertEnroll\server2%20Root%20CA.crl

RÉFÉRENCES

Pour plus d’informations sur Wfetch.exe, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

284285 comment utiliser Wfetch.exe pour résoudre les problèmes de connexions HTTP

La propriété de métabase IIS de CertCheckMode Active ou désactive la vérification de la liste de révocation de certificats (CRL). Lorsque CertCheckMode est définie sur une valeur supérieure à 0, la liste de révocation ne recherche pas les certificats qui ont été révoqués. Lorsque la propriété CertCheckMode est égal à 0, la CRL recherche les certificats qui ont été révoqués. Pour plus d’informations, consultez la rubrique « CertCheckMode » dans IIS en ligne à l’aide de.
Propriétés

ID d'article : 294305 - Dernière mise à jour : 26 janv. 2017 - Révision : 1

Commentaires