Ivanti® Endpoint Manager 2024 サーバ証明書構成

このトピックでは、信頼できるルート認証局の構成について説明します。

問題

Microsoft Internet Information Services (IIS) でクライアント証明書に基づく認証を正しく処理するには、「信頼できるルート認証局」コンテナの証明書が正しく構成されていることが重要になります。 このコンテナに含まれる証明書はすべて、自己署名証明書でなければなりません。自己署名証明書ではない証明書がこのコンテナにインストールされている場合は、IIS の証明書に基づく認証が HTTP エラー403で失敗します。HTTP 403.16および403.7エラーについては、次の Web サイトをご覧ください。

• https://support.microsoft.com/en-us/kb/2802568

解決策

パート1:信頼できるルート認証局から自己署名証明書以外の証明書を削除する

この問題に対処するには、Certificate Manager (certmgr.msc) で信頼できるルート認証局から自己署名証明書以外の証明書をすべて削除し、これらの証明書を中間認証局などの適切な場所に移動します。これらの変更は注意して行ってください。他のソフトウェアに影響する可能性があります。ソフトウェア テストを実行し、すべてが正常に動作することを確認する必要があります。

パート2:Windows レジストリで SCHANNEL 設定を変更する

一部のシステムでは、証明書の信頼方法に影響する次のレジストリ キーを変更する必要があります。

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL、値の名前:ClientAuthTrustMode、値のタイプ:REG_DWORD、値のデータ:2 を設定します。
2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL、値の名前:SendTrustedIssuerList 値のタイプ:REG_DWORD 値のデータ:0:0 (False、またはこのキー全体を削除) を設定します。

SCHANNEL レジストリ キーと使用方法の詳細については、次の Web サイトをご覧ください。

• http://stackoverflow.com/questions/27232340/iis-8-5-mutual-certificates-authentication-fails-with-error-403-16
• http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
• http://configmgrblog.com/2014/02/23/configmgr-2012-r2-internet-facing-mp-windows-server-2012-r2-note/