IIS renvoie HTTP « 403.13 Client certificat révoqué » erreur message bien que le certificat n'est pas révoqué

IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.

La version anglaise de cet article est la suivante: 294305
Symptômes
Lorsque vous accédez à un site Web qui est configurée pour exiger des certificats client, le message d'erreur HTTP suivant peut s'afficher même si vous êtes sûr que le certificat client n'a pas été révoqué :
403.13 certificat client résilié
Cause
Par défaut, Internet Information Services (IIS) vérifie si le certificat client présenté a été révoqué. Pour cela, il télécharge la liste de révocation de certificats (CRL) du certificat client à partir d'un Point de Distribution de certificats (CDP) qui est répertorié en tant que partie du certificat client. Si IIS est incapable de télécharger au moins une des listes de révocation de certificat du client, le message d'erreur HTTP est affiché dans le navigateur du client.
Résolution
Pour chaque certificat de la chaîne qui a un CDP répertorié, assurez-vous que IIS est en mesure de télécharger au moins une CRL. Cela implique généralement l'ajustement des paramètres de pare-feu, proxy ou serveur de nom de domaine (DNS) d'admettre le trafic nécessaire ; en fonction du protocole, cela peut être le protocole HTTP (Hypertext Transfer) ou appel de procédure distante (RPC). Notez que le serveur Web doit être en mesure de résoudre la liste CRL, même si le navigateur client peut résoudre la liste de révocation car le serveur Web traite la requête HTTP qui nécessite le certificat client.

Pour éviter le message d'erreur HTTP 403.13, effectuez l'une des opérations suivantes :
  • Permettre à IIS de télécharger la liste de révocation. Pour ce faire, procédez comme suit :
    1. Supprimer les certificats de client en double (c'est-à-dire, les certificats clients émis par la même autorité de certification) à partir du navigateur du client.
    2. Démarrer avec le certificat client et passez le chemin d'accès de certification. Coller la référence du CDP HTTP de chaque certificat dans le navigateur sur le serveur. Si le fichier ne parvient pas à télécharger, il existe un problème avec la protection continue des données.REMARQUE: Double-cliquez sur chaque certificat dans le chemin d'accès de certification pour afficher ses propriétés.

    3. Utilisez les utilitaires PING, Tracert.exe ou Wfetch.exe pour identifier n'importe quel nom réseau ou la résolution de problèmes de latence qui surviennent lorsque vous contactez le problème CDP.
    4. Rechercher l'adresse IP du problème CDP et ajouter une entrée au fichier HOSTS sur l'ordinateur IIS. Cela doit permettre à IIS de télécharger la liste CRL et résoudre l'erreur.
    5. Répétez ces étapes pour chaque certificat de chemin d'accès de certification du certificat client.
  • Si un ordinateur proxy est impliqué, modifier le compte utilisé pour démarrer les services IIS à un compte d'administrateur de domaine et redémarrez le service IIS Admin. Si cela résout le problème, le compte système local ou le compte qui est régulièrement utilisé pour démarrer les services IIS, ne dispose pas d'autorisations suffisantes sur le serveur proxy pour accéder à Internet.
Plus d'informations
Pour afficher la protection continue des données d'un certificat, procédez comme suit :
  1. Dans Microsoft Internet Explorer, cliquez sur Options Internet dans le menu Outils .
  2. Dans l'onglet contenu , cliquez sur certificats.
  3. Sous l'onglet personnel , double-cliquez sur le certificat client.
  4. Cliquez sur l'onglet Chemin d'accès de Certification du certificat client pour afficher chaque certificat dans le chemin d'accès.
  5. Double-cliquez sur chacun de ces certificats et cliquez sur l'onglet Détails . Le champ Point de Distribution CRL contient des entrées qui répertorient le chemin d'accès pour télécharger le fichier .crl associé. Remarque: si une protection continue des données ne sont pas répertoriée, passez au certificat suivant supérieur dans le chemin d'accès.
Si une extension CDP est présente dans le certificat fait partie du chemin d'accès de certification, IIS doit être en mesure de télécharger au moins une des listes de révocation. Si IIS est incapable de résoudre la liste CRL, il renvoie l'erreur HTTP 403.13.

Points de Distribution CRL exemple :
[1]CRL Distribution Point     Distribution Point Name:          Full Name:               URL=http://server.domain.com/CertEnroll/server%20Root%20CA.crl<BR/><BR/>[2]CRL Distribution Point     Distribution Point Name:          Full Name:               URL=file://\\server2.domain.com\CertEnroll\server2%20Root%20CA.crl				

RÉFÉRENCES

Pour plus d'informations sur Wfetch.exe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
284285 Comment faire pour utiliser Wfetch.exe pour résoudre les problèmes de connexions HTTP
La propriété de métabase IIS de CertCheckMode Active ou désactive la vérification de la liste de révocation de certificats (CRL). Lorsque CertCheckMode est définie sur une valeur supérieure à 0, la liste de révocation ne recherche pas les certificats qui ont été révoqués. Lorsque la propriété CertCheckMode est égal à 0, la CRL recherche les certificats qui ont été révoqués. Pour plus d'informations, consultez la rubrique « CertCheckMode » dans IIS en ligne à l'aide de.
IIS 5, certificat, de révocation de certificats, le CDP

Avertissement : Cet article a été traduit automatiquement.

Propriétés

ID d'article : 294305 - Dernière mise à jour : 07/25/2015 11:58:00 - Révision : 5.0

Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 7.0

  • kbpending kbprb kbmt KB294305 KbMtfr
Commentaires