IIS SSL取消证书合法性验证

Posted gxivwshjj

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了IIS SSL取消证书合法性验证相关的知识,希望对你有一定的参考价值。

(1)使用CD命令进入AdminScripts文件夹。[如果不存在这个目录,需要在控制面版,程序,启用或关闭Windows功能中,将IIS6管理兼容性都选上]

示例:cd  C:\\Inetpub\\AdminScripts

cscript adsutil.vbs set w3svc/certcheckmode 1
win 2003 IIS 6 以下执行以上代码,去除证书的合法性验证

cscript adsutil.vbs SET w3svc/9/CertCheckMode 1


cscript adsutil.vbs SET w3svc/n/CertCheckMode 1
其中 n是站点的ID
win7/2008 执行以上代码
执行成功后,重启IIS

 

注释:CertCheckMode值为0,强制检测CRL

CertCheckMode值为1,强制不检测CRL

如果没有执行以上代码,https访问时,证书就会报403错误

 

http://www.cnblogs.com/chenlulouis/archive/2011/04/28/2031736.html

 

 

先简单说下原理

大概原理: 

             采用SSL,在用户使用浏览器访问WEB服务器时,会在客户端和服务器建立安全SSL通道。在SSL会话产生时: 

              第一步 服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。 

              第二步 服务器会要求浏览器出示客户端证书,服务器完成客户端证书验证以后,才来对用户进行身份认证。这个认证是对客户端证书的验证包括验证

                           客户端证书是否由服务器新人的证书颁发机构颁发,客户端证书是否在有效期内,客户端证书是否有效(是否被窜改等)以及客户端证书是否已经

                           被服务器吊销等。  验证通过以后,服务器会解析客户端证书,获取用户信息,并根据用户的信息查询访问控制列表来决定是否授权访问

                            因为客户端证书被吊销,验证没通过,  所有无权访问,IIS 返回 403 . 13

    

IIS无法连接CACRL,导致所有证书都被认为是无效的。如果是在测试环境中,可以选择禁止IIS检查CRL,如果是正式运行环境,需要由CA的管理人员解决。因为一旦禁用IIS检查CRL,就意味着所有由IIS信任的证书颁发机构颁发的证书,只有没有过有效期,IIS都会认为是有效的。这样对于正式的运行环境中是很危险的,因为不能保证CA永远也不吊销任何曾经颁发的证书。

1、          首先确认系统安装的服务

步骤:右键“我的电脑”à“管理”选择左侧的“角色”如下

请确认角色服务中安装了以下服务:

 

2、

具体操作步骤:“开始”à“运行”输入cmdà点击确定,进入dos界面

(1)使用CD命令进入AdminScripts文件夹。

示例:cd  C:\\Inetpub\\AdminScripts

(2)输入:cscript adsutil.vbs set w3svc/certcheckmode 1(WIN2003+IIS6)

(3)cscript adsutil.vbs SET w3svc/n/CertCheckMode 1(WIN2008+IIS7)

  n 表示网站ID

注释:CertCheckMode值为0,强制检测CRL

CertCheckMode值为1,强制不检测CRL

 

以上是关于IIS SSL取消证书合法性验证的主要内容,如果未能解决你的问题,请参考以下文章

IIS 是不是进行 SSL 证书检查,还是我必须对其进行验证?

ssl证书的工作原理?

WCF 客户端证书身份验证,服务“SslRequireCert”的 SSL 设置与 IIS“Ssl,SslNegotiateCert”的设置不匹配

Symantec SSL证书为什么比较贵?

2008申请SSL证书,IIS7怎么申请SSL安全证书

SSL证书