403 -禁止和服务器信任如此之多的证书颁发机构，以至于列表太长了

Question

我们有一个默认网站下的web应用程序，使用客户端证书身份验证来验证其客户端。它在与客户端证书进行身份验证时握手失败，并错误地使用超时或403 -禁止:访问被拒绝错误。我们在系统事件日志中发现了以下错误，

当请求客户端身份验证时，此服务器向客户端发送受信任证书颁发机构的列表。客户端使用此列表选择服务器信任的客户端证书。当前，此服务器信任如此多的证书颁发机构，以致列表增长得太长。因此，此列表已被截断。此计算机的管理员应检查为客户端身份验证而受信任的证书颁发机构，并删除那些不真正需要信任的证书颁发机构。

IIS配置与我们在其他环境中对此web应用程序所做的配置非常相似，我们在证书存储库中验证了此应用程序所需的其他几个检查:我们验证了所有服务器证书和客户端证书及其权限层次结构是可用的。应用程序身份验证:匿名应用程序SSL设置:需要SSL/ Accept ApplicationHost.config: iisClientCertificateMappingAuthentication下已启用的OnetoOneMapping也添加了与服务帐户映射的base64证书

我不确定此身份验证问题是否必须对事件日志中的上述错误消息进行处理。

Answer 1

我知道这可能已经太晚了，无法帮助OP，但是对于任何拥有这个事件日志消息的人来说，在https://www.codit.eu/blog/2013/04/03/troubleshooting-ssl-client-certificate-issue-on-iis/上有一篇关于这个问题的结构良好的文章，它建议：

解决这一问题有两种解决办法： 第一种解决方案是清除受信任的根证书颁发机构存储(本地机器)并删除所有不必要的证书。请注意，您不会删除Windows所需的证书。 第二种解决方案是将Schannel配置为在TLS/SSL握手过程中不再发送受信任的根证书颁发机构列表。这可以通过在web服务器HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL上添加此注册表项来完成。 值名称: SendTrustedIssuerList值类型: REG_DWORD值数据:0 (False)