西西軟件園多重安全檢測下載網(wǎng)站、值得信賴的軟件下載站!
軟件
軟件
文章
搜索

首頁編程開發(fā)其它知識 → iis7中CFCA客戶端登錄報403錯誤已解決

iis7中CFCA客戶端登錄報403錯誤已解決

相關軟件相關文章發(fā)表評論 來源:西西整理時間:2011/4/28 16:18:10字體大。A-A+

作者:西西點擊:179次評論:0次標簽: iis7 windows2008

  • 類型:手機工具大。2.8M語言:中文 評分:6.8
  • 標簽:
立即下載

先簡單說下原理

大概原理: 

             采用SSL,在用戶使用瀏覽器訪問WEB服務器時,會在客戶端和服務器建立安全SSL通道。在SSL會話產(chǎn)生時: 

              第一步 服務器會傳送它的服務器證書,客戶端會自動的分析服務器證書,來驗證服務器的身份。 

              第二步 服務器會要求瀏覽器出示客戶端證書,服務器完成客戶端證書驗證以后,才來對用戶進行身份認證。這個認證是對客戶端證書的驗證包括驗證

                           客戶端證書是否由服務器新人的證書頒發(fā)機構(gòu)頒發(fā),客戶端證書是否在有效期內(nèi),客戶端證書是否有效(是否被竄改等)以及客戶端證書是否已經(jīng)

                           被服務器吊銷等。  驗證通過以后,服務器會解析客戶端證書,獲取用戶信息,并根據(jù)用戶的信息查詢訪問控制列表來決定是否授權訪問。

                            因為客戶端證書被吊銷,驗證沒通過,  所有無權訪問,IIS 返回 403 . 13

IIS無法連接CA的CRL,導致所有證書都被認為是無效的。如果是在測試環(huán)境中,可以選擇禁止IIS檢查CRL,如果是正式運行環(huán)境,需要由CA的管理人員解決。因為一旦禁用IIS檢查CRL,就意味著所有由IIS信任的證書頒發(fā)機構(gòu)頒發(fā)的證書,只有沒有過有效期,IIS都會認為是有效的。這樣對于正式的運行環(huán)境中是很危險的,因為不能保證CA永遠也不吊銷任何曾經(jīng)頒發(fā)的證書。

1、          首先確認系統(tǒng)安裝的服務

步驟:右鍵“我的電腦”à“管理”選擇左側(cè)的“角色”如下

請確認角色服務中安裝了以下服務:

2、

具體操作步驟:“開始”à“運行”輸入cmdà點擊確定,進入dos界面

(1)使用CD命令進入AdminScripts文件夾。

示例:cd  C:\Inetpub\AdminScripts

(2)輸入:cscript adsutil.vbs set w3svc/certcheckmode 1(WIN2003+IIS6)

(3)cscript adsutil.vbs SET w3svc/n/CertCheckMode 1(WIN2008+IIS7)

  n 表示網(wǎng)站ID

注釋:CertCheckMode值為0,強制檢測CRL

CertCheckMode值為1,強制不檢測CRL

    相關文章

    相關評論

    閱讀本文后您有什么感想? 已有人給出評價!

    • 8 喜歡喜歡
    • 3 頂
    • 1 難過難過
    • 5 囧
    • 3 圍觀圍觀
    • 2 無聊無聊

    熱門評論

    最新評論

    發(fā)表評論 查看所有評論(0)

    昵稱:
    表情: 高興 可 汗 我不要 害羞 好 下下下 送花 屎 親親
    字數(shù): 0/500 (您的評論需要經(jīng)過審核才能顯示)