Anúncios

Your client certificate is either not trusted or is invalid (com Windows Server 2012 e IIS 8.0 (ou IIS 8.5))

A combinação de Windows Server 2012 com IIS 8.0 (ou IIS 8.5) pode funcionar um pouco diferente da combinação Windows Server 2012 com IIS 7.5.

Algumas alterações na funcionalidade Schannel Security Support Provider (SSP) impactaram no funcionamento do modelo de segurança e autenticação de aplicações. O SSP inclui recursos como Transport Layer Security (TLS), Secure Sockets Layer (SSL), e Datagram Transport Layer Security (DTLS). Todos esses recursos são muito importantes, pois envolvem tarefas de segurança e autenticação de aplicações.

Ao publicar um site no Windows Server 2012, com o IIS 8.0 (ou IIS 8.5), com recursos de SSL e utilizando certificados digitais, é possível que você encontre a mensagem de erro abaixo:

HTTP Error 403.16 - Forbidden

Your client certificate is either not trusted or is invalid.

Most likely causes:

The client certificate used for this request is not trusted by the Web server.

Things you can try:

The client may have an old certificate selected for client authentication to this Web site. Close all open client windows, open a new browser window, and then select a valid certificate for client authentication.

Verify that the client certificate is trusted by the Web server.

Verify that the root certificate is properly installed and trusted on the Web server.

Create a tracing rule to track failed requests for this HTTP status code. For more information about creating a tracing rule for failed requests, click here.

More Information:

A Secure Sockets Layer (SSL) client certificate identifies you as a valid user of the resource. This error can occur if you choose a client certificate created by a Certificate Authority (CA) that is not trusted by the Web server.

Esta mensagem de erro informa que o certificado utilizado não é confiável ou inválido. Essa mensagem pode não estar mostrando o real motivo do problema.

Dentre os novos recursos do TLS (disponíveis no Windows Server 2012 com IIS 8.0 (ou IIS 8.5)) o modelo padrão de autenticação foi alterado de "Exclusive CA Trust" para "Machine Trust". O modelo "Machine Trust" exige que o certificado client esteja em uma Trusted Issuers list no servidor. Para alterar esse modelo de autenticação basta alterar o valor da chave de configuração "clientauthtrustmo" localizada em [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL] para "00000002", que corresponde ao modelo "Exclusive CA Trust".

Espero que seja útil.

FH

Referência:

http://blogs.msdn.com/b/devtr/archive/2013/04/24/windows-server-2012-ve-iis-8-uzerinde-403-16-veya-403-7-alabilirsiniz.aspx

http://technet.microsoft.com/en-us/library/hh831771.aspx

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: