Configuration des certificats de serveur Ivanti® Endpoint Manager 2024

Cette rubrique contient des informations sur la configuration des autorités de certification (CA) racines de confiance.

Problématique

Pour que Microsoft Internet Information Services (IIS) gère correctement l'authentification basée sur un certificat client, il est important de configurer correctement les certificats du conteneur « Autorité de certification racine de confiance ». Les certificats stockés dans ce conteneur doivent tous être des certificats autosignés. Si des certificats non autosignés sont installés dans ce conteneur, cela peut provoquer l'échec de l'authentification par certificat pour IIS, avec l'erreur HTTP 403. Pour consulter la description des erreurs HTTP 403.16 et 403.7, visitez le site Web suivant :

• https://support.microsoft.com/en-us/kb/2802568

Résolution

Section 1 : Suppression des certificats non autosignés du dossier Autorités de certification racines de confiance

Pour résoudre ce problème, il faut supprimer tous les certificats non autosignés du dossier Autorités de certification racines de confiance dans Certificate Manager (certmgr.msc), puis les déplacer vers le dossier approprié, par exemple Autorités de certification intermédiaires. Soyez prudent lorsque vous apportez ces changements, car d'autres logiciels peuvent être affectés ; vous devez exécuter des tests logiciels pour vous assurer que tout fonctionne toujours correctement.

Section 2 : Changement des paramètres SCHANNEL dans le registre Windows

Sur certains systèmes, il peut être nécessaire de changer les clés de registre suivantes, qui affectent la manière dont le système fait confiance aux certificats :

1. Définissez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL, Nom de valeur : ClientAuthTrustMode, Type de valeur : REG_DWORD, Données de valeur : 2
2. Définissez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL, Nom de valeur : SendTrustedIssuerList, Type de valeur : REG_DWORD, Données de valeur : 0 (False (Faux) ou supprimez carrément cette clé)

Pour en savoir plus sur la clé de registre SCHANNEL et son utilisation, visitez les sites Web suivants :

• http://stackoverflow.com/questions/27232340/iis-8-5-mutual-certificates-authentication-fails-with-error-403-16
• http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
• http://configmgrblog.com/2014/02/23/configmgr-2012-r2-internet-facing-mp-windows-server-2012-r2-note/