你目前正处于脱机状态,正在等待 Internet 重新连接

IIS 5.0: HTTP 403.16 禁止访问: 客户端证书不受信任的或无效的。

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 252657
不再更新的 KB 内容免责声明
本文介绍那些 Microsoft 不再提供支持的产品。因此本文按“原样”提供,并且不再更新。
症状
当您连接到安全 (HTTPS) Web 站点时,您可能会出现"客户端身份验证"对话框,提示您选择要用于与 IIS 计算机的身份验证的客户端证书。当您选择客户端证书时,您可能会被拒绝访问和可能会出现以下错误信息:
HTTP 403.16 禁止访问: 客户端证书不受信任或无效。
原因
如果您选择创建由证书颁发机构 (CA) 不受信任的 IIS 计算机的客户端证书,则会出现此错误。

如果客户端证书由受信任的 IIS 计算机,CA 创建的那么很可能导致此错误是由 Windows 2000 的已知问题时它被配置为"信任仅企业根存储区"。
替代方法
如果您没有创建由 IIS 计算机信任的 CA 的客户端证书,您可以从受信任 IIS 计算机的证书颁发机构申请新的客户端证书,或者了 IIS 计算机配置为信任创建您的客户端证书的 CA 管理员。

如果您具有创建 IIS 计算机信任 CA 的客户端证书,则可能已经配置的 Windows 2000 域通过组策略的强制 IIS 计算机"信任仅企业根存储区"。如果启用此策略中,身份验证将仍会失败,即使 CA 是受信任的根存储区。

要解决此问题,请删除组策略 信任仅企业根存储 域的的选项。为此,请执行以下步骤:
  1. 启动默认域策略组策略编辑器。
  2. 选择 计算机设置选择 计算机配置然后选择 Windows 设置.
  3. 选择 安全设置选择 公钥策略 然后选择 受信任的根证书颁发机构.
  4. 用鼠标右键单击受信任的根 CA 节点,然后选择 属性.
  5. 禁用 信任仅企业根存储 选项。
状态
Microsoft 已经确认这是 Microsoft Internet Information Services 版本 5.0 中的问题。
在 IIS 5

警告:本文已自动翻译

属性

文章 ID:252657 - 上次审阅时间:01/24/2012 02:17:00 - 修订版本: 1.0

  • kbbug kbfix kbprod2web kbmt KB252657 KbMtzh
反馈
mp;t=">