IIS 8.5 - Ошибка аутентификации взаимных сертификатов с ошибкой 403.16

Ответ 1

Я работаю над этим в течение долгого времени и, наконец, нашел его!

Добавить новый ключ в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL       Имя значения: ClientAuthTrustMode       Тип значения: REG_DWORD       Данные значения: 2

Обновите веб-страницу, выберите сертификат и посмотрите, как происходит волшебство.

Исследование

Используя Windows 8 и IIS 8.5, я выполнил инструкции здесь http://itq.nl/testing-with-client-certificate-authentication-in-a-development-environment-on-iis-8-5/.

Сертификаты были созданы в правильном месте и все настроено в IIS правильно, но я продолжал получать ошибки 403.16.

После того, как многие статьи MSDN и другие попытки не удались, я нашел следующий параметр реестра.

Установить HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL       Имя значения: ClientAuthTrustMode       Тип значения: REG_DWORD       Данные значения: 2

Установить HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL       Имя значения: SendTrustedIssuerList       Тип значения: REG_DWORD       Данные значения: 0 (False или полностью удалить эту клавишу)

Вот еще информация об этом конкретном параметре (здесь: http://technet.microsoft.com/en-us/library/hh831771.aspx)

По умолчанию для режимов доверия Существует три режима доверия аутентификации клиентов, поддерживаемых поставщиком Schannel. Режим доверия контролирует, как выполняется проверка цепочки сертификатов клиентов, и является общесистемной настройкой, управляемой REG_DWORD "ClientAuthTrustMode" в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel.

0 Machine Trust (по умолчанию) Требуется, чтобы сертификат клиента выдавался сертификатом в списке "Надежные эмитенты".

1 Эксклюзивный корневой траст Требуется, чтобы сертификат клиента подключался к корневому сертификату, содержащемуся в доверенном хранилище доверенных клиентов. Сертификат также должен быть выпущен эмитентом в списке доверенных эмитентов

2 Эксклюзивный CA Trust Требуется, чтобы цепочка сертификатов клиента была либо промежуточным сертификатом ЦС, либо корневым сертификатом в указанном доверенном хранилище доверенных клиентов. Сведения об ошибках проверки подлинности из-за проблем с конфигурацией доверенных эмитентов см. В статье 280256 базы знаний.

Надеюсь, эта работа и для вас.

Ответ 2

Мне пришлось перезагрузить сервер, чтобы применить параметр ClientAuthTrustMode.

Ответ 3

Я попробовал решение, предложенное выше, и он отлично работает.

Альтернативное решение, которое не требует редактирования реестра:

https://support.microsoft.com/en-us/help/2795828/lync-server-2013-front-end-service-cannot-start-in-windows-server-2012

В этой статье основное внимание уделяется удалению всех не подписанных сертификатов из папки "Локальный компьютер доверенной корневой папки".

Если вы используете групповые политики для развертывания сертификатов, убедитесь, что хранилище доверенных корневых центров сертификации содержит только самозаверяющие сертификаты (сертификаты, в которых свойство сертификата "Субъект" совпадает с свойством сертификата "Эмитент" ). Переместите все сертификаты, которые не являются самозаверяющими сертификатами из хранилища доверенных корневых центров сертификации, в хранилище промежуточных сертификатов.

Если вы импортируете новые сертификаты вручную, убедитесь, что вы выбрали Надежные корневые центры сертификации самозаверяющие сертификаты и компьютеры Intermediate Органы сертификации хранят сертификаты, которые не являются самоподписанные сертификаты.

Вы можете найти все несамостоятельные сертификаты, используя Powershell script:

Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt"

Переместите эти сертификаты в папку "Средние сертификационные центры" в mmc.