我的本地机器上有 asp.net 站点。
IIS 配置: 绑定:https绑定自签名证书, ssl 设置:需要 SSL 和需要客户端证书
我已经在我的机器上安装了下一个证书: 受信任的根证书颁发机构存储中的 CA 证书(称为“CA 中心”)。 个人商店中“CA Center”颁发的客户证书
我去现场并接受服务器证书。但接下来我得到错误:
HTTP 错误 403.7 - 禁止。您尝试访问的页面要求您的浏览器具有 Web 服务器可识别的安全套接字层 (SSL) 客户端证书。
这意味着浏览器 (IE) 不会将适用的客户端证书发送到服务器。
怎么了?我应该配置其他东西吗?
【问题讨论】:
标签: asp.net certificate iis-7.5 ssl-certificate
我确实遇到了这个问题,我花了很长时间才弄清楚原因。原来这是因为我的计算机是域的一部分,并且该域的某种组策略限制了 IIS 愿意接受的受信任的根证书。我不确切知道设置是什么或如何更改它,但我发现我可以通过选择使用 certutil 命令将我的证书安装到企业物理存储中来解决它:
certutil -addstore -v -enterprise root CertificateAuthority.cer
【讨论】:
听起来浏览器从未提示您选择要发送的客户端证书,这意味着 SSL 握手有问题。尝试使用 OpenSSL 进行测试。
此外,一个非常常见的问题是受信任的根 CA 文件夹中的证书过多。当服务器发送 CA 列表时,列表的大小是有限制的,因此如果超出限制,它将截断剩余的 CA 证书。确保受信任的根 CA 文件夹没有太多证书。一种检查方法是临时修改注册表编辑器中的 SCHANNEL 以不发送 CA 列表,然后重试。
开始 > 运行 > 'regedit' > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL > 右键单击 > 新建 > DWORD > 'SendTrustedIssuerList' > 值:0
【讨论】:
重新安装证书并检查其生效日期。来自Microsoft Support:
在服务器上的浏览器中下载根服务器证书 计算机。运行位于 Inetsrv 目录。
检查客户端证书上的生效日期并确保 日期和时间到了。
检查到期日期并确保证书没有 已到期。请联系您的证书颁发机构,看看您的 证书已过期。
【讨论】: