本文提供下列問題的因應措施:當網站具有多個受信任的根 CA 認證路徑時,不會發出網站所呈現的安全性憑證。
原始 KB 編號: 2831004
徵兆
當使用者嘗試存取受保護的網站時,使用者會在網頁瀏覽器中收到下列警告訊息:
此網站的安全性憑證有問題。
此網站提供的安全憑證並非由受信任的憑證授權單位所簽發。
在使用者按一下 [繼續前往此網站 (不建議)]之後,使用者就可以存取受保護的網站。
原因
發生此問題的原因是網站憑證在網頁伺服器上有多個受信任的認證路徑。
例如,假設您使用的用戶端電腦信任 根憑證授權單位 (CA) 憑證 (2)。 網頁伺服器會信任 根 CA 憑證 (1) 和 根 CA 憑證 (2)。 此外,憑證具有 Web 伺服器上受根信任 CA 的下列兩個認證路徑:
- 憑證路徑 1:網站憑證 - 中繼 CA 憑證 - 根 CA 憑證 (1)
- 憑證路徑 2:網站憑證 - 中繼 CA 憑證 - 跨根 CA 憑證 - 根 CA 憑證 (2)
當電腦在憑證驗證程式期間找到多個受信任的憑證路徑時,Microsoft CryptoAPI 會藉由計算每個鏈的分數來選取最佳的憑證路徑。 分數是依據憑證路徑可提供的資訊品質和數量來計算。 如果多個憑證路徑的分數相同,則會選取最短的鏈。
當認證路徑 1 和認證路徑 2 具有相同的品質分數時,CryptoAPI 會選取較短的路徑 (憑證路徑 1),並將路徑傳送至用戶端。 不過,用戶端電腦只能使用連結至根 CA 憑證 (2) 的較長憑證路徑來驗證憑證。 因此憑證驗證會失敗。
因應措施
若要解決此問題,請遵循下列步驟,從您不想使用的憑證路徑中刪除或停用憑證:
以系統管理員身分登入網站伺服器。
遵循下列步驟,將憑證嵌入式管理單元新增至 Microsoft 管理主控台:
- 按一下 [開始] > [執行],輸入 mmc,然後按下 Enter。
- 在 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
- 選取 [憑證], 按一下 [新增],選取 [電腦帳戶],然後按 [下一步]。
- 選取 [本機電腦] (也就是此主控台所執行的電腦)],然後按一下 [完成]。
- 按一下 [確定]。
在管理主控台中展開 [憑證 (本機電腦)],然後在您不需要使用的憑證路徑上找到憑證。
注意
如果憑證是根 CA 憑證,則會包含在 受信任的根憑證授權單位 中。 如果憑證是中繼 CA 憑證,則會包含在 中繼憑證授權單位單位 中。
若要刪除或停用憑證,請使用下列其中一種方法:
- 若要刪除憑證,請在憑證上按右鍵,然後按一下 [刪除]。
- 若要停用憑證,請以滑鼠右鍵按一下憑證,按一下 [內容],選取 [停用此憑證的所有用途],然後按一下 [確定]。
如果問題仍在發生,請重新啟動伺服器。
此外,如果關閉自動根憑證更新群組原則設定已停用或未在伺服器上設定,則當下一個鏈建置發生時,可能會啟用或安裝來自您不想使用之憑證路徑的憑證。 若要變更群組原則設定,請執行下列步驟:
按一下 [開始] > [執行],輸入 gpedit.msc,然後按下 Enter。
展開 [電腦設定] > [系統管理範本] > [系統] > [網際網路通訊管理],然後按一下 [網際網路通訊設定]。
按兩下 [關閉自動根憑證更新],選取 [已啟用],然後按一下 [確定]。
關閉本機群組原則編輯器。
狀態
這是依照設計的行為。