403.16拒绝MTLS证书。

Question

我正在与第三方集成，当使用MTLS连接时，第三方将显示一个客户端证书。

他们使用的证书是由第三方的CSR向我们生成的。它被起诉了我们的一个CA，并返回到第三方。我们的一位管理员主动提出了CSR，并向我提供了该证书的公钥，以及CA的公钥。

CA的公钥已经添加到机器证书存储区Trusted Root Certification Authorities中，根据来自用于排除403.16故障的docs页面的指导，CSR的公钥已经添加到Intermediate Certification Authorities存储中。

IIS已使用路径system.webServer/security/authentication/iisClientCertificateMappingAuthentication上的配置编辑器( Configuration )通过manyToOneMappings配置，以便根据所提供的证书为用户分配一个Windows帐户。证书配置为与公共名称(CN)匹配，并正确配置：

​

当第三方连接时，IIS日志显示一个403.16错误。

我相信这是正确的配置。我已经使用makecert.exe生成了自己的证书，并证明了这是可行的。

CAPI2日志显示了从第一次到最后一次收到的以下错误消息：

1. 指定的网络资源或设备不再可用。
2. 由于吊销服务器脱机，吊销函数无法检查吊销。
3. 证书对于请求的使用无效。

我希望#1是试图检查吊销的结果。

一些问题：

1. 不检查撤销会不会导致403.16？
2. 从CSR生成的证书表明它作为“服务器身份验证”的用途。“客户端身份验证”是MTLS工作所必需的目的吗？

提前谢谢。

Answer 1

万一其他人碰到这件事，想知道我们是怎么解决的。

在我们的实例中，前两个错误与证书吊销的检查有关。可以按照这里指令禁用证书吊销检查。

最后一个错误是由于证书没有使用Client Authentication而导致的。证书似乎同时需要Server Authentication和Client Authentication。

一旦解决了这三个问题，端到端的沟通就会奏效。