一、證書申請與安裝
略
二、要求客戶端證書認證
略
三、一些SSL配置參數
HKLM\System\Currentcontrolset\services\http\parameters\sslbindinginfo
CertCheckMode設置爲以下值:
0:做CRL檢查。基於緩存的CRL檢查,如果CRL過期,將根據證書CDP進行下載更新
1:不做CRL檢查
2:做CRL檢查。基於緩存的CRL檢查,但不聯網更新CRL。如果CRL過期,將報錯。只能手工方式更新CRL緩存
4:做CRL檢查。直接聯網下載CRL進行檢查,不從緩存的CRL進行檢查。TheDefaultRevocationFreshnessTime setting is enabled
CRL的下載頻度決定於CRL的下次更新時間。但可以通過RevocationFreshnessTime參數進行指定:
0:按CRL的下次更新時間
1:每1天更新一次(RevocationURLRetrievalTimeout==0)
大於1:按設置的數據,以秒爲單位進行更新
另一個參數是RevocationURLRetrievalTimeout,它是以毫秒爲單位進行自動更新CRL,這時RevocationFreshnessTime必須設置爲1
四、常見問題
403.4 - 要求SSL
禁用要求安全通道選項,或使用HTTPS代替HTTP來訪問該頁面。如果沒有安裝證書 的Web站點出現此錯誤,請查看Microsoft知識庫中相應的文章:224389 錯誤信息: HTTP 錯誤 403、403.4、403.5 禁止訪問:要求 SSL
403.5 - 要求SSL 128
禁用要求128位加密選項,或使用支持128位加密的瀏覽器以查看該頁面。如果沒有安裝證書的Web站點出現此錯誤,請查看Microsoft知識庫中相應的文章:224389 錯誤 信息:HTTP 錯誤 403、403.4、403.5 禁止訪問:要求 SSL
403.7 - 要求客戶端證書
您已把您的服務器配置爲要求客戶端身份驗證證書,但您未安裝有效的客戶端證書。有關其他信息,請查看Microsoft知識庫中相應的文 章:190004 錯誤 403.7 或 “Connection to Server Could Not Be Established”(無法建立與服務器的連 接)
186812 PRB:錯誤信息:403.7 Forbidden:Client Certificate Required (403.7 禁止訪問:要求客戶端證書)
403.12 - 拒絕訪問映射表
您要訪問的頁面要求提供客戶端證書,但映射到您的客戶端證書的用戶ID已被拒絕訪問該文件。有關其他信息,請查看Microsoft知識庫中相應的文 章:248075 錯誤信 息:HTTP 403.12 - Access Forbidden:Mapper Denied Access(HTTP 403.12 - 禁止訪問:映射表拒絕訪問)
403.13 - 客戶端證書被吊銷
檢查下證書CDP裏的CRL,在Web服務器上的IE上能否下載。如果不能下載,可以把CDP加入到可信站點,同時對應的安全設置裏面,“文件下載”要選“啓用”。如果Web服務器與CDP之間網絡不通,則只能手工下載CRL後,放到Web服務器計算機帳戶“My”證書庫裏面。
403.16 - 客戶端證書不受信任或無效
IIS cannot process a complete certificate chain
403.17 - 客戶端證書已過期或尚未生效
五、iisClientCertificateMappingAuthentication
六、有用的命令