| ||||
| ||||
| На сервере установлен IIS и КриптоПро TLS 2.0. Указал сертификат сервера и доверенный сертификат. при соединении с сервером запрашиватся сертификат клиента, но потом вылазит ошибка: "Страница требует действительный клиентский сертификат Страница, к которой была выполнена попытка обращения, требует использования действительного клиентского сертификата. Ваш клиентский сертификат был отзван, либо состояние сертификата нельзя определить. Сертификат используется для проверки подлинности пользователя ресурса." Списки отзыва тоже установлены на сервере. Из-за чего эта ошибка? | ||||
| Ответы: | ||||
| ||||
| Сертификат клиента проверяется на отзыв сервером. Если клиентский сертификат выдан не на том же ЦС, где выдан сертификат веб-сервера, то корневой сертификат ЦС, выдавшего клиентский сертификат, его crl должны быть установлены в нужные хранилища ЛОКАЛЬНОГО КОМПЬЮТЕРА на сервере. Если в цепочке есть промежуточные ЦС, то их сертификаты и crl также должны быть установлены на сервере. При этом, разумеется, все сертификаты и crl на сервере должны быть актуальны по срокам действия относительно локального времени на сервере. | ||||
| ||||
| Сертификат сервера и клиента выданы одним ЦС. Crl на сервер скопировано(только вот почему-то указано действительен ДО 2 марта 2006-на Win2000ServerSP4? в то время как этот же crl на winXP пишет действителен с 2 марта 2006) Что ещё можно посмотреть? | ||||
| ||||
| а что значит "crl должны быть установлены в нужные хранилища ЛОКАЛЬНОГО КОМПЬЮТЕРА на сервере"??? Я эту процедуру делаю простым копирование файла crl в папку c:\Winnt\CertificateAndCRL | ||||
| ||||
| На файле crl надо нажать правой кнопкой мыши, выбрать пункт контекстного меню "Установить...", переставить переключатель в "Поместить в следующее хранилище" - Обзор - поставить галку "Показать физические хранилища" - и выбрать из списка "Промежуточные ЦС - Локальный компьютер" | ||||
| ||||
| Спасибо. помогло | ||||
Esler