現在オフラインです。再接続するためにインターネットの接続を待っています

[IIS 6.0] コンピュータは個々のサイトによって信頼される証明機関をすべて信頼する必要がある

サポート期間が終了した「サポート技術情報」資料に関する免責事項
この資料は、マイクロソフトでサポートされていない製品について記述したものです。そのため、この資料は現状ベースで提供されており、今後更新されることはありません。
現象
クライアント証明書を要求する Web サイトをインターネット インフォメーション サービス (IIS) 5.0 に配置している場合に、このサーバーを IIS 6.0 が含まれる Microsoft Windows Server 2003 にアップグレードすると、クライアント証明書が証明書信頼リスト (CTL) で制御されていない場合でも、サイトに接続するクライアントが次のいずれかのエラー メッセージを受け取ることがあります。
HTTP 403.16 - アクセスは許可されていません : クライアント証明書が信用されていないか、または無効です。
HTTP エラー 403.16 - アクセスは許可されていません : クライアント証明書の形式が正しくないか、Web サーバーから信頼されていません。
HTTP エラー 403.7 - アクセスは許可されていません : SSL クライアント証明書が必要です。
クライアントが Web サイトにアクセスしたとき、ブラウザに [クライアント認証] ダイアログ ボックスが表示されないことがあります ([クライアント認証] ダイアログ ボックスから、サイトへのアクセスに使用するクライアント証明書を選択できます)。[クライアント認証] ダイアログ ボックスが表示されても、証明書の一覧にクライアント証明書が表示されない場合があります。
原因
この問題は、IIS コンピュータが信頼していない証明機関によってクライアント証明書が作成されている場合に発生することがあります。
詳細
IIS 5.0 では、ローカル コンピュータの [個人] 証明書ストアにルート証明機関証明書がインストールされている証明機関を含む CTL を指定することができます。一方、IIS 6.0 では、ルート証明機関証明書は、ローカル コンピュータの [信頼されたルート証明機関] 証明書ストアにインストールされていなければなりません。この変更に伴って、IIS 6.0 は crypto API で規定されている規則に基づいて証明書を検証します。ルート証明機関証明書が、ローカル コンピュータの [信頼されたルート証明機関] 証明書ストアにインストールされていない場合、crypto API によって証明書が拒否されます。
解決方法
エラーを解決して証明書をブラウザに表示するには、ルート証明機関の証明書を、ローカル コンピュータの [信頼されたルート証明機関] 証明書ストアにインストールする必要があります。
  1. 証明書スナップイン (ローカル コンピュータ用) を追加します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力して [OK] をクリックします。
    2. [ファイル] メニューの [スナップインの追加と削除] をクリックし、[追加] をクリックします。
    3. [スナップイン] で [証明書] をダブルクリックし、[コンピュータ アカウント] をクリックします。[次へ] をクリックします。
    4. [ローカル コンピュータ] をクリックし、[完了] をクリックして [閉じる] をクリックします。
    5. [OK] をクリックしてウィザードを終了します。
  2. ローカル コンピュータの個人証明書ストアから証明書をエクスポートします。
    1. スナップインで、[証明書 (ローカル コンピュータ)]、[個人]、[証明書] の順にダブルクリックします。
    2. クライアント証明書を発行する証明機関のルート証明機関証明書を右クリックし、[すべてのタスク] をクリックします。[エクスポート] をクリックして、証明書のエクスポート ウィザードを開きます。
    3. [次へ] をクリックし、秘密キーのエクスポートの有無を指定します。[次へ] をクリックし、エクスポートの形式を選択して、エクスポートした証明書を格納するディレクトリを指定します。[次へ] をクリックし、[完了] をクリックします。

      : 証明機関が Microsoft Windows 2000 ベースのサーバーでない場合、相互運用性のために DER Encoded Binary X.509 形式または Base64 Encoded X.509 形式を使用します。証明機関の種類が不明の場合はこれらの形式のいずれかを使用してください。
  3. ローカル コンピュータの信頼されたルート証明機関証明書ストアに証明書をインポートします。
    1. スナップインで、[信頼されたルート証明機関] をダブルクリックします。[証明書] を右クリックし、[すべてのタスク] をポイントして [インポート] をクリックし、証明書のインポート ウィザードを開きます。
    2. [次へ] をクリックし、手順 2. でエクスポートした証明書を指定して [開く] をクリックします。
    3. [次へ] をクリックします。[証明書をすべて次のストアに配置する] が選択されていること、および [証明書ストア] に [信頼されたルート証明機関] が表示されていることを確認します。
    4. [次へ] をクリックし、[完了] をクリックします。
また、上記のエラー メッセージは、管理者が以前に [証明書信頼リストを有効にする] チェック ボックスをオンにし、ダイアログ ボックスで 1 つ以上のルート証明機関を入力して、特定の信頼リストを構成していることを示す場合もあります。[証明書信頼リストを有効にする] チェック ボックスがオンになっている場合は、予期したサーバーの証明書が一覧に表示されていることを確認します。この一覧には、更新された証明書がすべて含まれています。確認操作を行うには、以下の手順を実行します。
  1. IIS の管理コンソールを開き、上記のエラーが発生している Web サイトを右クリックし、[プロパティ] をクリックします。
  2. [ディレクトリ セキュリティ] タブをクリックします。
  3. [セキュリティで保護された通信] で、[編集] をクリックします。
  4. [証明書信頼リストを有効にする] チェック ボックスがオンになっていて、[現在の CTL] ボックスに一覧が表示された場合は、以下のタスクを実行することができます。
    1. [証明書信頼リストを有効にする] チェック ボックスをオフにします。これによって、IIS では、サーバー証明書ストア内のすべての証明書を使用することができます。
    2. [編集] をクリックし、証明書信頼リスト ウィザードで表示されたメッセージに従って、適切なサーバー証明書を追加します。

      : サーバー証明書ストアから 1 つ以上の証明書が CTL に追加されている場合にのみ、[編集] を使用することができます。
    3. メッセージが表示されたら、[OK] をクリックします。
  5. クライアント証明書が必要なページをテストします。
関連情報
CTL の詳細については、製品のドキュメントを参照してください。このドキュメントを読むには、以下のマイクロソフト Web サイトを参照してください。ドキュメントには IIS マネージャからもアクセスできます。このヘルプ機能にアクセスする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
815127 [HowTo] IIS 6.0 ヘルプ ドキュメントへのアクセス方法
iis 5
プロパティ

文書番号:332077 - 最終更新日: 05/10/2006 03:36:19 - リビジョン: 3.1

Microsoft Internet Information Server 1.01, Microsoft Internet Information Services 6.0

  • kbpending kbprb KB332077
フィードバック