Конфигурация сертификата сервера Ivanti® Endpoint Manager 2024

В этом разделе представлена информация о конфигурации доверенных корневых центров сертификации.

Проблема

Для корректной работы службы IIS (Microsoft Internet Information Services) при обработке аутентификации на основе сертификатов очень важно, чтобы сертификаты в контейнерах "доверенных корневых центров сертификации" были правильно сконфигурированы. Сертификаты, находящиеся в этом контейнере, должны быть самоподписываемыми сертификатами. Если в этом контейнере установлены несамоподписываемые сертификаты, это может привести к ошибкам аутентификации IIS (HTTP 403) на основе сертификатов. Для получения описания ошибок HTTP 403.16 и 403.7 перейдите на следующий веб-сайт:

Решение

Часть 1: Удалите несамоподписываемые сертификаты из доверенных корневых центров сертификации

Эта проблема может быть устранена посредством удаления несамоподписываемых сертификатов из доверенных корневых центров сертификации в Диспетчере сертификатов (certmgr.msc) и помещением их в соответствующее местоположение, такое как промежуточный центр сертификации. Делайте эти изменения с осторожностью, так как может быть задействовано другое программное обеспечение. Вам потребуется протестировать это программное обеспечение, чтобы убедиться в его работоспособности.

Часть 2: Измените настройки SCHANNEL в реестре Windows

В некоторых системах, возможно, потребуется изменить следующие разделы реестра, от которых зависит доверие сертификатов:

  1. Установите для раздела HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL имя значения: ClientAuthTrustMode, тип значения: REG_DWORD, тип данных: 2
  2. Установите для раздела HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL имя значения: SendTrustedIssuerList, тип значения: REG_DWORD, тип данных: 0 (False или удалите этот раздел полностью)

Для получения информации о разделе реестра SCHANNEL и его использовании см. следующие веб-сайты: