Configuración del certificado del servidor de Ivanti® Endpoint Manager 2024

Este tema incluye información acerca de la configuración de las Autoridades del certificado de raíz de confianza.

El problema

Para que Microsoft Internet Information Services (IIS) maneje correctamente la autenticación basada en certificados, es importante que los certificados de Autoridades del certificado de raíz de confianza estén configurados correctamente. Los certificados de este contenedor deberán ser certificados autofirmados. Si hay certificados no autofirmados instalados en este contenedor, puede hacer que la autenticación basada en certificados para IIS con error 403 de HTTP. Para obtener una descripción de los errores 403.16 y 403.7 de HTTP, consulte este sitio web:

Resolución

Parte 1: Elimine los certificados no autofirmados de Autoridades del certificado de raíz de confianza

Este problema se puede solucionar eliminando todos los certificados no autofirmados de Autoridades del certificado de raíz de confianza en Gestor de certificados (certmgr.msc) y moverlos a la ubicación adecuada, como Autoridades de certificación intermedia. Lleve a cabo estos cambios con precaución porque otro software podría verse afectado. Necesitará ejecutar pruebas de software para asegurarse de que todo funciona correctamente.

Parte 2: Cambie la Configuración SCHANNEL del Registro de Windows.

En algunos sistemas puede ser necesario cambiar las siguientes claves de registro que afectan al modo de confianza de los certificados:

  1. Ajuste HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL, Nombre del valor: ClientAuthTrustMode, Tipo del valor: REG_DWORD, datos del valor: 2
  2. Ajuste HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Nombre del valor: SendTrustedIssuerList Tipo del valor: REG_DWORD Datos del valor: 0 (Falso, o elimine totalmente esta clave)

Para obtener información acerca de la clave de registro SCHANNEL y sus usos, consulte estos sitios web: