Ivanti® Endpoint Manager 2024 伺服器憑證組態

本主題包含配置受信任根憑證授權單位的資訊。

問題

為了 Microsoft 網際網路資訊服務 (IIS) 正確處理以用戶端憑證為基礎的安全性，必須正確配置「受信任根憑證授權單位」容器中的憑證。 此容器中包含的憑證應該全部都是自我簽署的憑證。如果在此容器安裝非自我簽署的憑證，則會造成 IIS 以憑證為基礎的身分驗證由於 HTTP 錯誤 403 而失敗。關於 HTTP 403.16 和 403.7 錯誤的說明，請參閱下列網站:

• https://support.microsoft.com/en-us/kb/2802568

解析度

部份 1:從受信任根憑證授權單位移除非自我簽署的憑證

從 Certificate Manager (certmgr.msc) 的受信任根憑證授權單位中移除非自我簽署的憑證，並將這些憑證移到適當的位置，即可解決此問題。進行這些變更必須小心。因為其他軟體可能受影響；您需要進行軟體測試，確保一切仍然運作正常。

部份 2:變更 Windows 登錄中的 SCHANNEL 設定

在部份系統上，可能必須變更影響如何信任憑證的下列登錄機碼:

1. 設定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL，值名稱:ClientAuthTrustMode，值類型:REG_DWORD，值資料:2
2. 設定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL 值名稱:SendTrustedIssuerList 值類型:REG_DWORD 值資料:0 (False，或完全刪除此機碼)

如需 SCHANNEL 登錄機碼及其使用的資訊，請參閱下列網站:

• http://stackoverflow.com/questions/27232340/iis-8-5-mutual-certificates-authentication-fails-with-error-403-16
• http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
• http://configmgrblog.com/2014/02/23/configmgr-2012-r2-internet-facing-mp-windows-server-2012-r2-note/