- Remove From My Forums
-
Question
-
I have imported HP updates using system center update publisher and used a self signed certificate.. Now I wanted to use them in a OSD Task sequence.
I have imported the cert into trusted publisher and trusted roots stores in the task sequence and verified fif they exist in the store and they do..
I can see the updates being downloaded but then I receive …
The operating system reported error 2148204809: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
-
Moved by
Wednesday, October 20, 2010 11:07 AM
moved to SUM subforum (From:Configuration Manager Software Distribution)
-
Moved by
Answers
-
Found that the updates where signed by HP when downloading them with metadata only.. adding the HP certifcate to trusted publishers and root ca did not work.. they have to be downloaded with full content and then they are signed with the certifcate of
the scup server..-
Marked as answer by
LA1976
Friday, November 5, 2010 7:42 AM
-
Marked as answer by
Я пытаюсь реализовать проверку подлинности сертификата клиента в IIS 8. Я развернул свою конфигурацию на машине разработки и проверил, что она работает так, как ожидалось. Однако после настройки на сервере, когда я перехожу на сайт и запрос сертификата клиента, я выбираю его и сразу ошибка 403.16. Журнал неудачных запросов выдает код ошибки 2148204809 и сообщение » цепочка сертификатов обработана, но завершена в корневом сертификате, который не является доверенным поставщика доверия.»
У меня есть действительный сертификат клиента, а также действительный сертификат CA. Сертификат CA устанавливается в доверенных корневых центрах на учетной записи компьютера Как на сервере, так и на клиентском компьютере, а сертификат клиента устанавливается в личной области текущей учетной записи Пользователя на клиентском компьютере.
сертификат клиента подписан непосредственно корневым ЦС, и, как я уже сказал, оба действительны. В цепочке нет других сертификатов, и в цепочке нет промежуточных сертификатов Доверенная область корневых органов.
конфигурация IIS имеет sslFlags = SslNegotiateCert и iisclientcertificatemappingauthentication включена.
сервер не настроен для отправки CTL, и у нас есть SendTrustedIssuerList = 0.
Я не понимаю, почему сертификат клиента не должен быть доверенным.
3 ответов
Windows 2012 представила более строгие проверки хранилища сертификатов. Согласно KB 2795828: служба переднего плана Lync Server 2013 не может запускаться в Windows Server 2012, Доверенные корневые центры сертификации (т. е. корневое хранилище) могут иметь только самозаверяющие сертификаты. Если это хранилище содержит сертификаты, проверки подлинности сертификата клиента под IIS возвращает код ошибки 403.16.
чтобы решить проблему, вы должны удалить все не самоподписанные сертификаты от корневого хранилища. Эту команду PowerShell будет определять не самоподписанные сертификаты:
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
В моей ситуации, мы перенесли эти самоподписанные сертификаты в промежуточные центры сертификации (т. е. ЦА) магазин:
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} |
Move-Item -Destination Cert:\LocalMachine\CA
По данным KB 2801679: проблемы связи SSL / TLS после установки KB 931125, у вас также может быть слишком много доверенных сертификатов.
[T]он максимальный размер списка доверенных центров сертификации, который поддерживает пакет безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых сертификационных органов превысит предел 16k, и вы столкнетесь с проблемами связи TLS/SSL.
решение в этой ситуации заключается в удалении любых сертификатов центра сертификации, которым вы не доверяете, или остановить отправку списка доверенных certifiation, установив HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\@SendTrustedIssuerList запись в реестре для 0 (значение по умолчанию, если его нет, равно 1).
в моем случае я добавлял корневой сертификат в хранилище сертификатов «текущий пользователь» на сервере и получал ошибку 403.16.
добавление моего корневого сертификата в хранилище доверенных корневых полномочий для локальной машины решило проблему.
выполните следующие действия на сервере с IIS.
Для Windows Server 2008 R2:
- щелкните правой кнопкой мыши файл сертификата и выберите «Установить сертификат». Щелчок следующий.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Проверьте «показать физические магазины»
- разверните «Доверенные корневые центры сертификации» и выберите «локальный компьютер». нажимать OK.
- Нажмите Кнопку Далее/Нажмите Кнопку Готово.
Для Windows Server 2012 R2:
- щелкните правой кнопкой мыши файл сертификата и выберите » Установить
Сертификат». - Выберите «Локальная Машина». Щелчок Следующий.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Выберите Доверенные Корневые Центры Сертификации. нажимать OK.
- Нажмите Кнопку Далее/Нажмите Кнопку Готово.
Для Windows 7:
- Пуск — > Выполнить — > mmc.exe
- File — > ‘добавить или удалить Оснастки’. Выберите «сертификаты», нажмите «Добавить >» и выберите «Учетная запись компьютера», а затем «локальный компьютер». Нажмите кнопку Готово / OK
- развернуть Сертификаты (Локальный Компьютер) — > Доверенные Корневые Центры Сертификации — > Сертификаты. Щелкните правой кнопкой мыши сертификаты и выберите Все задачи — > импорт.
- Выберите файл сертификата и нажмите кнопку Далее.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Проверьте «показать физические магазины»
- разверните «Доверенные корневые центры сертификации» и выберите «локальный компьютер». нажимать OK.
- Нажмите Кнопку Далее / Click Заканчивать.
Я получил эту ошибку в IIS Express:
ошибка HTTP 403.16-запрещено
сертификат клиента либо не является доверенным, либо недействительным.
смотреть на!—1—> я увидел следующую ошибку:
<RenderingInfo Culture="en-US">
<Opcode>MODULE_SET_RESPONSE_ERROR_STATUS</Opcode>
<Keywords>
<Keyword>RequestNotifications</Keyword>
</Keywords>
<freb:Description Data="Notification">BEGIN_REQUEST</freb:Description>
<freb:Description Data="ErrorCode">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
(0x800b0109)</freb:Description>
</RenderingInfo>
оказалось, когда я установил Razer Synapse установка также поставить сертификат для chromasdk.io В доверенных корневых центрах сертификации под учетной записью компьютера — > локальный компьютер. Я удалил это, а затем все работал.
- Remove From My Forums
-
Question
-
I have imported HP updates using system center update publisher and used a self signed certificate.. Now I wanted to use them in a OSD Task sequence.
I have imported the cert into trusted publisher and trusted roots stores in the task sequence and verified fif they exist in the store and they do..
I can see the updates being downloaded but then I receive …
The operating system reported error 2148204809: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
-
Moved by
Wednesday, October 20, 2010 11:07 AM
moved to SUM subforum (From:Configuration Manager Software Distribution)
-
Moved by
Answers
-
Found that the updates where signed by HP when downloading them with metadata only.. adding the HP certifcate to trusted publishers and root ca did not work.. they have to be downloaded with full content and then they are signed with the certifcate of
the scup server..-
Marked as answer by
LA1976
Friday, November 5, 2010 7:42 AM
-
Marked as answer by
- Remove From My Forums
-
Question
-
I have imported HP updates using system center update publisher and used a self signed certificate.. Now I wanted to use them in a OSD Task sequence.
I have imported the cert into trusted publisher and trusted roots stores in the task sequence and verified fif they exist in the store and they do..
I can see the updates being downloaded but then I receive …
The operating system reported error 2148204809: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
-
Moved by
Wednesday, October 20, 2010 11:07 AM
moved to SUM subforum (From:Configuration Manager Software Distribution)
-
Moved by
Answers
-
Found that the updates where signed by HP when downloading them with metadata only.. adding the HP certifcate to trusted publishers and root ca did not work.. they have to be downloaded with full content and then they are signed with the certifcate of
the scup server..-
Marked as answer by
LA1976
Friday, November 5, 2010 7:42 AM
-
Marked as answer by
Я пытаюсь реализовать проверку подлинности сертификата клиента в IIS 8. Я развернул свою конфигурацию на машине разработки и проверил, что она работает так, как ожидалось. Однако после настройки на сервере, когда я перехожу на сайт и запрос сертификата клиента, я выбираю его и сразу ошибка 403.16. Журнал неудачных запросов выдает код ошибки 2148204809 и сообщение » цепочка сертификатов обработана, но завершена в корневом сертификате, который не является доверенным поставщика доверия.»
У меня есть действительный сертификат клиента, а также действительный сертификат CA. Сертификат CA устанавливается в доверенных корневых центрах на учетной записи компьютера Как на сервере, так и на клиентском компьютере, а сертификат клиента устанавливается в личной области текущей учетной записи Пользователя на клиентском компьютере.
сертификат клиента подписан непосредственно корневым ЦС, и, как я уже сказал, оба действительны. В цепочке нет других сертификатов, и в цепочке нет промежуточных сертификатов Доверенная область корневых органов.
конфигурация IIS имеет sslFlags = SslNegotiateCert и iisclientcertificatemappingauthentication включена.
сервер не настроен для отправки CTL, и у нас есть SendTrustedIssuerList = 0.
Я не понимаю, почему сертификат клиента не должен быть доверенным.
3 ответов
Windows 2012 представила более строгие проверки хранилища сертификатов. Согласно KB 2795828: служба переднего плана Lync Server 2013 не может запускаться в Windows Server 2012, Доверенные корневые центры сертификации (т. е. корневое хранилище) могут иметь только самозаверяющие сертификаты. Если это хранилище содержит сертификаты, проверки подлинности сертификата клиента под IIS возвращает код ошибки 403.16.
чтобы решить проблему, вы должны удалить все не самоподписанные сертификаты от корневого хранилища. Эту команду PowerShell будет определять не самоподписанные сертификаты:
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
В моей ситуации, мы перенесли эти самоподписанные сертификаты в промежуточные центры сертификации (т. е. ЦА) магазин:
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} |
Move-Item -Destination Cert:LocalMachineCA
По данным KB 2801679: проблемы связи SSL / TLS после установки KB 931125, у вас также может быть слишком много доверенных сертификатов.
[T]он максимальный размер списка доверенных центров сертификации, который поддерживает пакет безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых сертификационных органов превысит предел 16k, и вы столкнетесь с проблемами связи TLS/SSL.
решение в этой ситуации заключается в удалении любых сертификатов центра сертификации, которым вы не доверяете, или остановить отправку списка доверенных certifiation, установив HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL@SendTrustedIssuerList запись в реестре для 0 (значение по умолчанию, если его нет, равно 1).
в моем случае я добавлял корневой сертификат в хранилище сертификатов «текущий пользователь» на сервере и получал ошибку 403.16.
добавление моего корневого сертификата в хранилище доверенных корневых полномочий для локальной машины решило проблему.
выполните следующие действия на сервере с IIS.
Для Windows Server 2008 R2:
- щелкните правой кнопкой мыши файл сертификата и выберите «Установить сертификат». Щелчок следующий.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Проверьте «показать физические магазины»
- разверните «Доверенные корневые центры сертификации» и выберите «локальный компьютер». нажимать OK.
- Нажмите Кнопку Далее/Нажмите Кнопку Готово.
Для Windows Server 2012 R2:
- щелкните правой кнопкой мыши файл сертификата и выберите » Установить
Сертификат». - Выберите «Локальная Машина». Щелчок Следующий.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Выберите Доверенные Корневые Центры Сертификации. нажимать OK.
- Нажмите Кнопку Далее/Нажмите Кнопку Готово.
Для Windows 7:
- Пуск — > Выполнить — > mmc.exe
- File — > ‘добавить или удалить Оснастки’. Выберите «сертификаты», нажмите «Добавить >» и выберите «Учетная запись компьютера», а затем «локальный компьютер». Нажмите кнопку Готово / OK
- развернуть Сертификаты (Локальный Компьютер) — > Доверенные Корневые Центры Сертификации — > Сертификаты. Щелкните правой кнопкой мыши сертификаты и выберите Все задачи — > импорт.
- Выберите файл сертификата и нажмите кнопку Далее.
- выберите поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор…’
- Проверьте «показать физические магазины»
- разверните «Доверенные корневые центры сертификации» и выберите «локальный компьютер». нажимать OK.
- Нажмите Кнопку Далее / Click Заканчивать.
Я получил эту ошибку в IIS Express:
ошибка HTTP 403.16-запрещено
сертификат клиента либо не является доверенным, либо недействительным.
смотреть на!—1—> я увидел следующую ошибку:
<RenderingInfo Culture="en-US">
<Opcode>MODULE_SET_RESPONSE_ERROR_STATUS</Opcode>
<Keywords>
<Keyword>RequestNotifications</Keyword>
</Keywords>
<freb:Description Data="Notification">BEGIN_REQUEST</freb:Description>
<freb:Description Data="ErrorCode">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
(0x800b0109)</freb:Description>
</RenderingInfo>
оказалось, когда я установил Razer Synapse установка также поставить сертификат для chromasdk.io В доверенных корневых центрах сертификации под учетной записью компьютера — > локальный компьютер. Я удалил это, а затем все работал.
 asdsdf |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 20.03.2018(UTC) Сказал(а) «Спасибо»: 5 раз |
Автор: Андрей * Сертификаты в архиве. Спасибо, конечно, за то ссылку на архив, но где эти сертификаты можно взять у вас на сайте? И каков их срок действия, как часто их надо обновлять? |
 |
|
certs.zip |
Андрей * |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 457 раз |
Автор: asdsdf Автор: Андрей * Сертификаты в архиве. Спасибо, конечно, за то ссылку на архив, но где эти сертификаты можно взять у вас на сайте? И каков их срок действия, как часто их надо обновлять? http://q20.cryptopro.ru/ |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
asdsdf
оставлено 26.10.2021(UTC) |
1 пользователь поблагодарил Андрей * за этот пост.|
asdsdf |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 20.03.2018(UTC) Сказал(а) «Спасибо»: 5 раз |
Спасибо. Так есть ли возможность расшифровать эти коды или вот тебе ошибка и всё, думай сам, что это значит ) |
|
|
|
|
Андрей * |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 457 раз |
Автор: asdsdf Спасибо. Так есть ли возможность расшифровать эти коды или вот тебе ошибка и всё, думай сам, что это значит ) Код: Она описана так: |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
Андрей * |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 457 раз |
0x800b0109 — The actual meaning of this error code is |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
asdsdf
оставлено 26.10.2021(UTC) |
|
asdsdf |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 20.03.2018(UTC) Сказал(а) «Спасибо»: 5 раз |
А 0x800700EA? Выложите список и решите массу проблем |
|
|
|
|
Андрей * |
|
|
Статус: Сотрудник Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сказал «Спасибо»: 457 раз |
Автор: asdsdf А 0x800700EA? Выложите список и решите массу проблем так там и находится… + страницы по кодам ошибок: в WinError.h. + вложение (не полный список) |
|
Техническую поддержку оказываем тут |
|
|
|
WWW |
|
|
asdsdf
оставлено 26.10.2021(UTC) |
|
lboikov |
|
|
Статус: Активный участник Группы: Участники
Зарегистрирован: 31.08.2012(UTC) Сказал «Спасибо»: 24 раз |
В винде еще можно так: 0x800b0109 (-2146762487) — 2148204809 (-2146762487) |
|
|
WWW |
|
Андрей Русев |
|
|
Статус: Сотрудник Группы: Администраторы, Участники Сказал(а) «Спасибо»: 12 раз |
Автор: asdsdf А 0x800700EA? Выложите список и решите массу проблем ERROR_MORE_DATA: https://www.magnumdb.com/search?q=0x800700EA |
|
Официальная техподдержка. Официальная база знаний. |
|
|
|
|
|
asdsdf |
|
|
Статус: Участник Группы: Участники
Зарегистрирован: 20.03.2018(UTC) Сказал(а) «Спасибо»: 5 раз |
Автор: Андрей * Здравствуйте. Давайте вернёмся к моим устаревшим сертификатам. Вроде как они нормальные же: Цитата: # /opt/cprocsp/bin/amd64/certmgr -list ============================================================================= [ErrorCode: 0x00000000] Валидны с 2017 по 2026. Или нет? И где они лежат, сертификаты эти, как понять? |
|
|
|
| Пользователи, просматривающие эту тему |
|
Guest |
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Вопрос:
Я пытаюсь внедрить аутентификацию сертификата клиента в IIS 8. Я развернул свою конфигурацию на машине разработки и проверил ее работу как ожидалось. Однако после настройки на сервере, всякий раз, когда я перехожу к сайту и запрашивается сертификат клиента, я выбираю его и сразу получаю ошибку 403.16. В журнале неудачных запросов выдается код ошибки 2148204809 и сообщение “Цепочка сертификатов обработана, но завершена в корневом сертификате, которому не доверяет поставщик доверия”.
У меня есть действительный клиентский сертификат, а также действительный сертификат CA. Сертификат CA устанавливается в доверенных корневых центрах на учетной записи компьютера как на сервере, так и на клиентском компьютере, а сертификат клиента устанавливается в личной области учетной записи “Текущий пользователь” на клиентской машине.
Клиентский сертификат подписывается непосредственно корневым центром сертификации, и, как я уже сказал, оба действительны. В цепочке нет других сертификатов, и нет промежуточных сертификатов в области доверенных корневых центров.
У конфигурации IIS есть sslFlags = SslNegotiateCert и iisClientCertificateMappingAuthentication включена.
Сервер не настроен для отправки CTL, и у нас есть SendTrustedIssuerList = 0.
Я не понимаю, почему сертификату клиента не следует доверять.
Лучший ответ:
В Windows 2012 были введены более строгие проверки хранилища сертификатов. Согласно KB 2795828: служба Front Line Lync Server 2013 не может запускаться в Windows Server 2012, в хранилище доверенных корневых центров сертификации (то есть Root) могут быть только сертификаты, которые являются собственностью -signed. Если в этом хранилище содержатся несамоходные сертификаты, аутентификация сертификата клиента в IIS возвращается с кодом ошибки 403.16.
Чтобы решить эту проблему, вам нужно удалить все несамоходные сертификаты из корневого хранилища. Эта команда PowerShell будет идентифицировать несамоходные сертификаты:
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
В моей ситуации мы перенесли эти несамозаписываемые сертификаты в хранилища промежуточных сертификатов (например, CA):
Get-Childitem cert:LocalMachineroot -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} |
Move-Item -Destination Cert:LocalMachineCA
Согласно KB 2801679: проблемы с связью SSL/TLS после установки KB 931125, у вас может также быть слишком много доверенных сертификатов.
[T] максимальный размер списка доверенных сертификатов, который поддерживает пакет безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых центров сертификации будет превышать лимит в 16 тыс., И вы столкнетесь с проблемами связи TLS/SSL.
Решение в этой ситуации заключается в том, чтобы удалить все сертификаты центра сертификации, которым вы не доверяете, или чтобы прекратить отправку списка доверенных сертификационных органов, установив запись реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNEL@SendTrustedIssuerList в 0 (по умолчанию, если нет, равно 1).
Ответ №1
В моем случае я добавлял корневой сертификат в хранилище сертификатов “текущий пользователь” на сервере и получал ошибку 403.16.
Добавление моего корневого сертификата в хранилище доверенных корневых ресурсов для локального компьютера разрешило проблему.
Выполните следующие шаги на сервере, на котором запущен IIS.
Для Windows Server 2008 R2:
- Щелкните правой кнопкой мыши файл сертификата и выберите “Установить сертификат”. Нажмите Далее.
- Выберите “Поместить все сертификаты в следующее хранилище” и нажмите “Обзор…”
- Отметьте “Показать физические магазины”
- Разверните “Доверенные корневые центры сертификации” и выберите “Локальный компьютер”. Нажмите “ОК”.
- Нажмите “Далее” / “Готово”.
Для Windows Server 2012 R2:
- Щелкните правой кнопкой мыши файл сертификата и выберите “Установить
Сертификат”. - Выберите “Локальный компьютер”. Нажмите “Далее” .
- Выберите “Поместить все сертификаты в следующее хранилище” и нажмите “Обзор…”
- Выберите “Доверенные корневые центры сертификации” . Нажмите “ОК”.
- Нажмите “Далее” / “Готово”.
Для Windows 7:
- Пуск → Выполнить → mmc.exe
- Файл → “Добавить или удалить оснастки”. Выберите “Сертификаты”, нажмите “Добавить > ” и выберите “Учетная запись компьютера”, а затем “Локальный компьютер”. Нажмите “Готово” / “ОК”
- Развернуть сертификаты (локальный компьютер) → Доверенные корневые центры сертификации → Сертификаты. Щелкните правой кнопкой мыши Сертификаты и выберите “Все задачи → Импорт”.
- Выберите файл сертификата и нажмите “Далее” .
- Выберите “Поместить все сертификаты в следующее хранилище” и нажмите “Обзор…”
- Отметьте “Показать физические магазины”
- Разверните “Доверенные корневые центры сертификации” и выберите “Локальный компьютер”. Нажмите “ОК”.
- Нажмите “Далее” / “Готово”.
Ответ №2
Я получил эту ошибку в IIS Express:
Ошибка HTTP 403.16 – Запрещено
Ваш сертификат клиента не является доверенным или недействительным.
Глядя на TraceLogFiles, я увидел следующую ошибку:
<RenderingInfo Culture="en-US">
<Opcode>MODULE_SET_RESPONSE_ERROR_STATUS</Opcode>
<Keywords>
<Keyword>RequestNotifications</Keyword>
</Keywords>
<freb:Description Data="Notification">BEGIN_REQUEST</freb:Description>
<freb:Description Data="ErrorCode">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
(0x800b0109)</freb:Description>
</RenderingInfo>
Выключившись, когда я установил Razer Synapse, установка также поместила сертификат для chromasdk.io в доверенные корневые центры сертификации по учетной записи компьютера → локальный компьютер. Я удалил это, а затем все сработало.
I am trying to implement client certificate authentication on IIS 8. I have deployed my configuration on a development machine and verified it working as expected there. However after setting up on the server, whenever I navigate to the site and am prompted for the client cert, I select it and immediately get the 403.16 error. The failed requests log gives the error code 2148204809 and message «A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.»
I have a valid client cert and also a valid CA cert. The CA cert is installed in Trusted Root Authorities on the computer account on both the server and the client machine, and the client cert is installed in the Personal area of the Current User account on the client machine.
The client cert is signed directly by the root CA and as I said, both are valid. There are no other certs in the chain and there are no intermediate certs in the Trusted Root Authorities area.
The IIS configuration has sslFlags = SslNegotiateCert and iisClientCertificateMappingAuthentication is enabled.
The server is not configured to send a CTL and we have SendTrustedIssuerList = 0.
I cannot see why the client cert should not be trusted.
asked Oct 8, 2014 at 0:36
EricEric
8901 gold badge7 silver badges9 bronze badges
3
Windows 2012 introduced stricter certificate store validations. According to KB 2795828: Lync Server 2013 Front-End service cannot start in Windows Server 2012, the Trusted Root Certification Authorities (i.e. Root) store can only have certificates that are self-signed. If that store contains non-self-signed certificates, client certificate authentication under IIS returns with a 403.16 error code.
To solve the problem, you have to remove all non-self-signed certificates from the root store. This PowerShell command will identify non-self-signed certificates:
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
In my situation, we moved these non-self-signed certificates into the Intermediate Certification Authorities (i.e. CA) store:
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} |
Move-Item -Destination Cert:\LocalMachine\CA
According to KB 2801679: SSL/TLS communication problems after you install KB 931125, you might also have too many trusted certificates.
[T]he maximum size of the trusted certificate authorities list that the Schannel security package supports is 16 kilobytes (KB). Having a large amount of Third-party Root Certication Authorities will go over the 16k limit, and you will experience TLS/SSL communication problems.
The solution in this situation is to remove any certification authority certificates you don’t trust, or to stop sending the list of trusted certifiation authorities by setting the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\@SendTrustedIssuerList registry entry to 0 (the default, if not present, is 1).
If the issue continues to persist after the above steps, restart the machine.
answered Jan 25, 2016 at 20:42
Aaron JensenAaron Jensen
25.4k15 gold badges82 silver badges92 bronze badges
10
In my case I’d been adding the root cert into the ‘current user’ certificate store on the server and was getting the 403.16 error.
Adding my root cert to the Trusted Root Authorities store for the local machine resolved the issue.
Follow the steps below on the server running IIS.
For Windows Server 2008 R2:
- Right click on the certificate file and select ‘Install Certificate’. Click next.
- Select ‘Place all certificates in the following store’ and click ‘Browse…’
- Check ‘Show physical stores’
- Expand ‘Trusted Root Certification Authorities’ and select ‘Local Computer’. Click OK.
- Click Next/Click Finish.
For Windows Server 2012 R2:
- Right click on the certificate file and select ‘Install
Certificate’. - Select ‘Local Machine’. Click Next.
- Select ‘Place all certificates in the following store’ and click ‘Browse…’
- Select ‘Trusted Root Certification Authorities’. Click OK.
- Click Next/Click Finish.
For Windows 7:
- Start -> Run -> mmc.exe
- File -> ‘Add or Remove Snap-ins’. Select ‘Certificates’, click ‘Add >’ and select ‘Computer account’ and then ‘Local computer’. Click Finish/OK
- Expand Certificates (Local Computer) -> Trusted Root Certification Authorities -> Certificates. Right click on Certificates and select All Tasks -> Import.
- Select the certificate file and click next.
- Select ‘Place all certificates in the following store’ and click ‘Browse…’
- Check ‘Show physical stores’
- Expand ‘Trusted Root Certification Authorities’ and select ‘Local Computer’. Click OK.
- Click Next/Click Finish.
answered Oct 1, 2015 at 15:26
PSTPST
1311 silver badge5 bronze badges
2
I got this error in IIS Express:
HTTP Error 403.16 — Forbidden
Your client certificate is either not trusted or is invalid.
Looking at the TraceLogFiles I saw the following error:
<RenderingInfo Culture="en-US">
<Opcode>MODULE_SET_RESPONSE_ERROR_STATUS</Opcode>
<Keywords>
<Keyword>RequestNotifications</Keyword>
</Keywords>
<freb:Description Data="Notification">BEGIN_REQUEST</freb:Description>
<freb:Description Data="ErrorCode">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
(0x800b0109)</freb:Description>
</RenderingInfo>
Turned out when I installed Razer Synapse the installation also put a certificate for chromasdk.io in Trusted Root Certification Authorities under Computer Account -> Local computer. I removed this and then everything worked.
answered Feb 2, 2018 at 9:28
OgglasOgglas
62.5k37 gold badges334 silver badges420 bronze badges
Just sharing my experience with Windows 2019 server and IISExpress in combination with a self-signed certificate. I couldn’t get it working with editing the registry and in the end I didn’t need to.
The following three steps got me there:
-
Generate a root certificate for the localmachine cert store with powershell:
$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature -Subject "CN=TestRootCert" -KeyExportPolicy Exportable -HashAlgorithm sha256 -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsageProperty Sign -KeyUsage CertSign -
Generate a client certificate for the localuser cert store, based on the root cert with powershell:
New-SelfSignedCertificate -Type Custom -Subject "CN=TestChildCert" -Signer $cert -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.2","2.5.29.17={text}upn=test@local") -KeyUsage DigitalSignature -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "Cert:\CurrentUser\My" -
Move the root cert from Personal\Certificates to Trusted Root Certification\Certificates
After this I could select the TestChildCert and it was accepted just fine.
answered Aug 25, 2020 at 13:59
В Windows 2012 введены более строгие проверки хранилищ сертификатов. Согласно KB 2795828: внешняя служба Lync Server 2013 не может быть запущена в Windows Server 2012, хранилище доверенных корневых центров сертификации (т. Е. Корневых) может иметь только сертификаты, которые являются самозаверяющими. Если это хранилище содержит неподписанные сертификаты, проверка подлинности клиентских сертификатов в IIS возвращает код ошибки 403.16.
Чтобы решить эту проблему, вы должны удалить все неподписанные сертификаты из корневого хранилища. Эта команда PowerShell идентифицирует неподписанные сертификаты:
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
В моей ситуации мы переместили эти неподписанные сертификаты в хранилище промежуточных центров сертификации (например, CA):
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} |
Move-Item -Destination Cert:\LocalMachine\CA
В соответствии с KB 2801679: проблемы связи SSL/TLS после установки KB 931125, у вас также может быть слишком много доверенных сертификатов.
[T] Максимальный размер списка доверенных центров сертификации, который поддерживает пакет безопасности Schannel, составляет 16 килобайт (КБ). Наличие большого количества сторонних корневых центров сертификации превысит ограничение в 16 КБ, и у вас возникнут проблемы со связью TLS/SSL.
Решение в этой ситуации состоит в том, чтобы удалить все сертификаты центра сертификации, которым вы не доверяете, или прекратить отправку списка доверенных центров сертификации, установив HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\@SendTrustedIssuerList запись реестра в 0 (по умолчанию, если не присутствует, 1).