Configuração do certificado do servidor do Ivanti® Endpoint Manager 2024

Este tópico contém informações sobre as Autoridades de Certificação-raiz Confiáveis

O problema

Para que os Serviços de Informações da Internet da Microsoft (IIS) manuseiem adequadamente a autenticação de cliente baseada em certificados, é importante que os certificados no contêiner “Autoridades de Certificação Confiáveis” sejam configurados adequadamente. Os certificados contidos neste contêiner devem todos ser certificados autoassinados. Se certificados não autoassinados estiverem instalados neste contêiner, eles podem causar falha na autenticação baseada em certificado, com o erro HTTP 403. Para obter uma descrição dos erros HTTP 403.16 e 403.7, consulte este site:

Solução:

Parte 1: Remover certificados de Autoridades de Certificação-raiz Confiáveis

Este problema pode ser tratado ao remover todos os certificado não autoassinados de Autoridades de Certificação-raiz Confiáveis no Gerenciador de Certificados (certmgr.msc) e movê-los para o local adequado, como Autoridades de Certificação Intermediárias. Faça essas alterações com cautela, pois outros softwares podem ser afetados; você terá que executar testes de software para se assegurar de que tudo ainda funciona corretamente.

Parte 2: Alterar as configurações SCHANNEL no registro do Windows

Em alguns sistemas, poderá ser necessário alterar as seguintes chaves de registro que afetam como os certificados são confiados:

  1. Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL, Value name: ClientAuthTrustMode, Value type: REG_DWORD, Value data: 2
  2. Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Value name: SendTrustedIssuerList Value type: REG_DWORD Value data: 0 (False, ou exclua completamente esta chave)

Para obter informações sobre a chave de registro SCHANNEL e seus usos, consulte estes sites: