ローカル マシンに asp.net サイトがあります。
IIS 構成: バインディング: 自己署名証明書による https バインディング、ssl 設定: SSL が必要およびクライアント証明書が必要
次の証明書を自分のマシンにインストールしました: 信頼されたルート証明機関ストアの CA 証明書 (「CA センター」と呼びます)。個人ストアの「CA センター」によって発行されたクライアント証明書
サイトにアクセスし、サーバー証明書を受け入れます。しかし、次にエラーが発生します:
HTTP エラー 403.7 - 禁止されています。アクセスしようとしているページでは、Web サーバーが認識する SSL (Secure Sockets Layer) クライアント証明書がブラウザに必要です。
つまり、ブラウザー (IE) は該当するクライアント証明書をサーバーに送信しません。
どうしたの?他の何かを構成する必要がありますか?
私はまさにこの問題を抱えていて、原因を突き止めるのに何年もかかりました。私のコンピューターがドメインの一部であり、IIS が受け入れても構わないと思っている信頼されたルート証明書を制限する、そのドメインのある種のグループ ポリシーがあったためであることが判明しました。設定が何であったか、またはどのように変更するかは正確にはわかりませんが、certutil コマンドを使用して、証明書を企業の物理ストアにインストールすることを選択することで、回避できることがわかりました。
certutil -addstore -v -enterprise root CertificateAuthority.cer
ブラウザが、送信するクライアント証明書を選択するように求めなかったようです。これは、SSL ハンドシェイクに問題があることを意味します。これを OpenSSL でテストしてみてください。
さらに、信頼されたルート CA フォルダーにある証明書が多すぎるという非常に一般的な問題があります。サーバーが CA のリストを送信するとき、リストの大きさには制限があるため、リストが制限を超えると、残りの CA 証明書が切り捨てられます。信頼されたルート CA フォルダーに含まれる証明書が多すぎないことを確認してください。これを確認する 1 つの方法は、レジストリ エディタで CA リストを送信しないように SCHANNEL を一時的に変更してから、再試行することです。
スタート > ファイル名を指定して実行 > 'regedit' > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL > 右クリック > 新規 > DWORD > 'SendTrustedIssuerList' > 値:0
証明書を再インストールし、有効日を確認します。マイクロソフト サポートから:
サーバー コンピューターのブラウザーでルート サーバー証明書をダウンロードします。Inetsrv ディレクトリにある Iisca.exe コマンド ライン ユーティリティを実行します。
クライアント証明書の発効日を確認し、その日時になっていることを確認してください。
有効期限を確認し、証明書の有効期限が切れていないことを確認してください。認証局に連絡して、証明書の有効期限が切れているかどうかを確認してください。