Ivanti® Endpoint Manager 2024 服务器证书配置

本主题包含关于受信任根证书颁发机构的信息。

问题

为使 Microsoft Internet Information Services (IIS) 正确处理基于证书的客户端身份验证，请务必正确配置“受信任根证书颁发机构”容器中的证书。 该容器中包含的证书应全部为自签名证书。 如果该容器上安装了非自签名证书，可能会导致 IIS 基于证书的身份验证失败，出现 HTTP 错误 403。 有关 HTTP 403.16 和 403.7 错误的说明，请参阅该网站：

• https://support.microsoft.com/en-us/kb/2802568

解决方法：

第一部分：从“受信任的根证书颁发机构”中删除非自签名的证书

通过将所有非自签名证书从证书管理器 (certmgr.msc) 的“受信任的根证书颁发机构”中删除，并将其移动到合适的位置（比如中间证书颁发机构）即可解决该问题。 请谨慎进行这些更改，因为可能会影响其他软件；您将需要运行软件测试以确保一切仍正常工作。

第二部分：在 Windows 注册表中更改 SCHANNEL 设置

在一些系统中，可能需要更改以下影响证书信任度的注册表项：

1. 设置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL，值名称：ClientAuthTrustMode，值类型：REG_DWORD，值数据：2
2. 设置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL 值名称：SendTrustedIssuerList 值类型：REG_DWORD 值数据：0（False，或将该项全部删除）

有关 SCHANNEL 注册表项及其使用的信息，请参阅这些网站：

• http://stackoverflow.com/questions/27232340/iis-8-5-mutual-certificates-authentication-fails-with-error-403-16
• http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
• http://configmgrblog.com/2014/02/23/configmgr-2012-r2-internet-facing-mp-windows-server-2012-r2-note/