Konfiguration von Ivanti® Endpoint Manager 2024 Serverzertifikaten

Dieses Thema enthält Informationen dazu, wie vertrauenswürdige Stammzertifizierungsstellen konfiguriert werden.

Problemstellung

Damit Microsoft Internet Information Services (IIS) die clientzertifikatbasierte Sicherheit richtig handhaben kann, müssen die Zertifikate im Container "Vertrauenswürdige Stammzertifizierungsstellen" richtig konfiguriert sein. Die in diesem Container enthaltenen Zertifikate müssen alle selbstsignierte Zertifikate sein. Falls nicht selbstsignierte Zertifikate auf dem Container installiert werden, kann das dazu führen, dass die zertifikatbasierte Authentifizierung für IIS mit einem HTTP-Fehler 403 fehlschlägt. Eine Beschreibung der HTTP-Fehler 403.16 und 403.7finden Sie auf dieser Website:

• https://support.microsoft.com/en-us/kb/2802568

Auflösung

Teil 1: Nicht selbstsignierte Zertifikate aus den vertrauenswürdigen Stammzertifizierungsstellen entfernen

Dieses Problem kann behoben werden, indem alle nicht selbstsignierten Zertifikate aus den vertrauenswürdigen Stammzertifizierungsstellen im Zertifikat-Manager (certmgr.msc) entfernt und stattdessen an die entsprechende Stelle verschoben werden, wie z. B. an Zwischenzertifizierungsstellen. Bei diesen Änderungen ist äußerste Vorsicht geboten, weil von den Änderungen auch andere Software betroffen sein könnte. Sie müssen Softwaretests ausführen, um sicherzustellen, dass alles einwandfrei funktioniert.

Teil 2: Ändern Sie die SCHANNEL-Einstellungen in der Windows-Registrierung

Bei einigen Systemen kann es notwendig sein, die folgenden Registrierungsschlüssel zu ändern, die sich darauf auswirken, wie Zertifikaten vertraut wird:

1. Stellen Sie Folgendes ein: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL, Value name: ClientAuthTrustMode, Value type: REG_DWORD, Value data: 2
2. Stellen Sie Folgendes ein: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Value name: SendTrustedIssuerList Value type: REG_DWORD Value data: 0 (False, oder löschen Sie diesen Schlüssel komplett)

Informationen zum Registrierungsschlüssel SCHANNEL und dessen Verwendung finden Sie auf diesen Websites:

• http://stackoverflow.com/questions/27232340/iis-8-5-mutual-certificates-authentication-fails-with-error-403-16
• http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
• http://configmgrblog.com/2014/02/23/configmgr-2012-r2-internet-facing-mp-windows-server-2012-r2-note/