iis7中CFCA客戶端登錄報403錯誤已解決
先簡單說下原理
大概原理:
采用SSL,在用戶使用瀏覽器訪問WEB服務(wù)器時,會在客戶端和服務(wù)器建立安全SSL通道。在SSL會話產(chǎn)生時:
第一步 服務(wù)器會傳送它的服務(wù)器證書,客戶端會自動的分析服務(wù)器證書,來驗證服務(wù)器的身份。
第二步 服務(wù)器會要求瀏覽器出示客戶端證書,服務(wù)器完成客戶端證書驗證以后,才來對用戶進(jìn)行身份認(rèn)證。這個認(rèn)證是對客戶端證書的驗證包括驗證
客戶端證書是否由服務(wù)器新人的證書頒發(fā)機構(gòu)頒發(fā),客戶端證書是否在有效期內(nèi),客戶端證書是否有效(是否被竄改等)以及客戶端證書是否已經(jīng)
被服務(wù)器吊銷等。 驗證通過以后,服務(wù)器會解析客戶端證書,獲取用戶信息,并根據(jù)用戶的信息查詢訪問控制列表來決定是否授權(quán)訪問。
因為客戶端證書被吊銷,驗證沒通過, 所有無權(quán)訪問,IIS 返回 403 . 13
IIS無法連接CA的CRL,導(dǎo)致所有證書都被認(rèn)為是無效的。如果是在測試環(huán)境中,可以選擇禁止IIS檢查CRL,如果是正式運行環(huán)境,需要由CA的管理人員解決。因為一旦禁用IIS檢查CRL,就意味著所有由IIS信任的證書頒發(fā)機構(gòu)頒發(fā)的證書,只有沒有過有效期,IIS都會認(rèn)為是有效的。這樣對于正式的運行環(huán)境中是很危險的,因為不能保證CA永遠(yuǎn)也不吊銷任何曾經(jīng)頒發(fā)的證書。
1、首先確認(rèn)系統(tǒng)安裝的服務(wù)
步驟:右鍵“我的電腦”à“管理”選擇左側(cè)的“角色”如下
請確認(rèn)角色服務(wù)中安裝了以下服務(wù):
2、具體操作步驟:“開始”à“運行”輸入cmdà點擊確定,進(jìn)入dos界面
(1)使用CD命令進(jìn)入AdminScripts文件夾。
示例:cd C:\Inetpub\AdminScripts
(2)輸入:cscript adsutil.vbs set w3svc/certcheckmode 1(WIN2003+IIS6)
(3)cscript adsutil.vbs SET w3svc/n/CertCheckMode 1(WIN2008+IIS7)
n 表示網(wǎng)站ID
注釋:CertCheckMode值為0,強制檢測CRL
CertCheckMode值為1,強制不檢測CRL
關(guān)鍵詞:iis7,403錯誤
閱讀本文后您有什么感想? 已有 人給出評價!
- 0
- 0
- 0
- 0
- 0
- 0