我正在尝试在 IIS 8 上实现客户端证书身份验证。我已在开发机器上部署了配置,并验证了它在那里按预期工作。但是在服务器上设置后,每当我导航到该站点并提示输入客户端证书时,我都会选择它并立即收到 403.16 错误。失败的请求日志显示错误代码 2148204809 和消息“证书链已处理,但终止于信任提供商不信任的根证书。”
我有一个有效的客户端证书和一个有效的 CA 证书。CA 证书安装在服务器和客户端计算机的计算机帐户的“受信任的根颁发机构”中,客户端证书安装在客户端计算机上的“当前用户”帐户的个人区域中。
客户端证书由根 CA 直接签名,正如我所说,两者都有效。链中没有其他证书,受信任的根颁发机构区域中也没有中间证书。
IIS 配置已启用 sslFlags = SslNegotiateCert 和 iisClientCertificateMappingAuthentication。
服务器未配置为发送 CTL,并且我们有 SendTrustedIssuerList = 0。
我不明白为什么不应该信任客户端证书。
答案1
我遇到了完全相同的问题。在我选中本地计算机受信任的根 CA 存储中的自签名证书属性中的“禁用证书吊销列表 (CRL)”后,它就起作用了。
答案2
我认为您应该将根 CA 放入客户端站点的当前用户证书下的受信任根证书中。如果我模拟您的情况,我的个人证书会报告错误,因为找不到根 CA。