原始 KB 编号:
954755
当客户端计算机尝试与 IIS Web 服务器建立服务器身份验证的安全套接字层 (SSL) 连接时,它将验证服务器证书链。 若要成功完成此证书验证,必须在服务器上正确配置服务器证书链中的中间证书。 否则,服务器身份验证可能会失败。 它还适用于使用 SSL 或传输层安全 (TLS) 进行身份验证的任何程序。
客户端计算机无法连接到运行 IIS 的服务器。 由于服务器未正确配置中间证书,因此客户端计算机无法对这些服务器进行身份验证。
建议在服务器上正确配置中间证书。
技术详细信息
X.509 证书验证包含多个阶段,包括证书路径发现和路径验证。
作为证书路径发现的一部分,必须找到中间证书,才能生成受信任的根证书的证书路径。 中间证书可用于确定证书最终是否由有效的根证书颁发机构颁发 (CA) 。 这些证书可以从客户端计算机上的缓存或证书存储中获取。 服务器还可以向客户端计算机提供信息。
在 SSL 协商中,服务器证书在客户端上进行验证。 在这种情况下,服务器向客户端计算机提供证书,以及客户端计算机用于生成证书路径的中间颁发证书。 完整的证书链(根证书除外)将发送到客户端计算机。
已配置服务器身份验证证书的证书链是在本地计算机上下文中生成的。 通过这种方式,IIS 确定它发送给 TLS/SSL 的客户端的证书集。 若要正确配置中间证书,请将其添加到服务器上的本地计算机帐户中的中间 CA 证书存储。
假设服务器操作员将 SSL 证书与相关的颁发 CA 证书一起安装。 以后续订 SSL 证书时,服务器操作员必须确保同时更新中间颁发证书。
打开证书 Microsoft 管理控制台 (MMC) 管理单元。 要执行此操作,请执行以下步骤:
-
在命令提示符处,键
入Mmc.exe
。
-
如果未以内置管理员身份运行程序,系统会提示你获得运行程序的权限。 在
Windows 安全中心
对话框中,单击
“允许
”。
-
在
“文件”
菜单上,选择
“添加/删除管理单元
”。
-
在
“添加或删除管理单元
”对话框中,选择
“可用管理
单元”列表中的
“证书
”管理单元。 然后选择
“添加
>
确定
”。
-
在
“证书管理
单元”对话框中,选择
“计算机帐户
”,然后选择
“下一步
”。
-
在“
选择计算机
”对话框中,选择
“完成
”。
-
在
“添加或删除管理单元
”对话框中,选择
“确定
”。
-
若要添加中间证书,请执行以下步骤:
-
在证书 MMC 管理单元中,展开
证书
,右键单击
中间证书颁发机构
,指向
所有任务
,然后选择“
导入
”。
-
在
“证书导入向导
”中,选择
“下一步
”。
-
在
“要导入的文件
”页中,在“文件名”框中键入要导入的证书
的文件名
。 然后选择“
下一步
”。
-
选择
“下一步
”,然后完成
证书导入向导
。
有关函
CryptoAPI
数如何生成证书链和验证吊销状态的详细信息,请访问
证书状态和吊销疑难解答
。
