HTTP 错误 403.16 - 客户端证书信任问题

Question

我正在尝试在 IIS 8 上实现客户端证书身份验证。我已在开发机器上部署了我的配置，并验证了它在那里按预期工作。但是，在服务器上设置后，每当我导航到该站点并提示输入客户端证书时，我选择它并立即收到 403.16 错误。失败的请求日志给出错误代码 2148204809 和消息​​“已处理证书链，但在信任提供者不信任的根证书中终止。”

我有一个有效的客户端证书和一个有效的 CA 证书。 CA 证书安装在服务器和客户端计算机上计算机帐户的 Trusted Root Authorities 中，客户端证书安装在客户端计算机上当前用户帐户的个人区域中。

客户端证书由根 CA 直接签名，正如我所说，两者都是有效的。链中没有其他证书，Trusted Root Authorities 区域中也没有中间证书。

IIS 配置已启用 sslFlags = SslNegotiateCert 和 iisClientCertificateMappingAuthentication。

服务器未配置为发送 CTL，我们的 SendTrustedIssuerList = 0。

我不明白为什么不应该信任客户端证书。

Answer 1

Windows 2012 引入了更严格的证书存储验证。根据KB 2795828: Lync Server 2013 Front-End service cannot start in Windows Server 2012，受信任的根证书颁发机构（即根）存储只能拥有自签名的证书。如果该存储包含非自签名证书，则 IIS 下的客户端证书身份验证返回 403.16 错误代码。

要解决此问题，您必须从根存储中删除所有非自签名证书。此 PowerShell 命令将识别非自签名证书：

Get-Childitem cert:\LocalMachine\root -Recurse | 
    Where-Object {$_.Issuer -ne $_.Subject}

在我的情况下，我们将这些非自签名证书移至中间证书颁发机构（即 CA）存储：

Get-Childitem cert:\LocalMachine\root -Recurse | 
    Where-Object {$_.Issuer -ne $_.Subject} | 
    Move-Item -Destination Cert:\LocalMachine\CA

根据KB 2801679: SSL/TLS communication problems after you install KB 931125，您可能还有太多受信任的证书。

[T]Schannel 安全包支持的受信任证书颁发机构列表的最大大小为 16 KB。拥有大量第三方根证书颁发机构将超过 16k 限制，您将遇到 TLS/SSL 通信问题。

这种情况下的解决方案是删除任何您不信任的证书颁发机构证书，或 to stop sending the list of trusted certifiation authorities by setting the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\@SendTrustedIssuerList registry entry to 0（如果不存在，默认值为 1）。

Answer 2

在我的情况下，我一直在将根证书添加到服务器上的“当前用户”证书存储中，并收到 403.16 错误。

将我的根证书添加到本地计算机的受信任的根权限存储解决了该问题。

在运行 IIS 的服务器上执行以下步骤。

对于 Windows Server 2008 R2：

1. 右键单击证书文件并选择“安装证书”。点击下一步。
2. 选择“将所有证书放入以下存储”并单击“浏览...”
3. 勾选“显示实体店”
4. 展开“受信任的根证书颁发机构”并选择“本地计算机”。点击确定。
5. 单击下一步/单击完成。

对于 Windows Server 2012 R2：

1. 右键单击证书文件并选择“安装” 证书”。
2. 选择“本地计算机”。点击下一步。
3. 选择“将所有证书放入以下存储”并单击“浏览...”
4. 选择“受信任的根证书颁发机构”。点击确定。
5. 单击下一步/单击完成。

对于 Windows 7：

1. 开始 -> 运行 -> mmc.exe
2. 文件 -> '添加或删除管理单元'。选择“证书”，单击“添加>”并选择“计算机帐户”，然后选择“本地计算机”。点击完成/确定
3. 扩展证书（本地计算机）-> 受信任的根证书颁发机构-> 证书。右键单击证书并选择所有任务 -> 导入。
4. 选择证书文件，点击下一步。
5. 选择“将所有证书放入以下存储”并单击“浏览...”
6. 勾选“显示实体店”
7. 展开“受信任的根证书颁发机构”并选择“本地计算机”。点击确定。
8. 单击下一步/单击完成。

Answer 3

我在 IIS Express 中遇到了这个错误：

HTTP 错误 403.16 - 禁止

您的客户端证书不受信任或无效。

查看TraceLogFiles看到如下错误：

<RenderingInfo Culture="en-US">
 <Opcode>MODULE_SET_RESPONSE_ERROR_STATUS</Opcode>
 <Keywords>
  <Keyword>RequestNotifications</Keyword>
 </Keywords>
 <freb:Description Data="Notification">BEGIN_REQUEST</freb:Description>
 <freb:Description Data="ErrorCode">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
(0x800b0109)</freb:Description>
</RenderingInfo>

结果当我安装Razer Synapse 时，安装还把chromasdk.io 的证书放在计算机帐户-> 本地计算机下的受信任的根证书颁发机构中。我删除了它，然后一切正常。

Answer 4

只是分享我使用 Windows 2019 服务器和 IISExpress 以及自签名证书的经验。我无法让它与编辑注册表一起工作，最后我不需要。

以下三个步骤让我做到了：

1. 使用 powershell 为 localmachine 证书存储生成根证书： $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=TestRootCert" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign

2. 为 localuser 证书存储区生成一个客户端证书，基于带有 powershell 的根证书： New-SelfSignedCertificate -Type Custom -Subject "CN=TestChildCert" -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2","2.5.29.17={text}upn=test@local") -KeyUsage DigitalSignature -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My"

3. 将根证书从 Personal\Certificates 移动到 Trusted Root Certification\Certificates

在此之后，我可以选择 TestChildCert 并且它被接受了。