none
无法使用https://访问 IIS 页面 RRS feed

  • 问题

  • 大家好,

    我有一个2003 sp2的域环境,这个域中存在 DC1 和DC2 两台 DC,其中DC2是域里面的证书颁发机构。

    我在DC2 上安装了IIS 6.0,并在默认站点上配置了证书,使用http://访问时提示我使用https://访问,当我使用https://访问时,总提示我无法显示页面。

    因为只有一个默认站点,不存在443端口被占用的问题。我使用微软提供的 SSLDiag1.1 进行Debug,提示如下信息:

    #WARNING:Handshake: unspecified error receiving data
    #WARNING:Handshake: 0x80090304 (-2146893052) error

    然后我进行了如下尝试。

    1.删除站点证书,重新申请,并ResetIIS ,测试结果无变化。

    2.新建站点,设置端口为8080 和 8443,并为这个站点申请证书,然后测试, 测试结果无变化。

    3.察看对应注册表键值,没有禁止使用SSL的信息。

    4.使用 SSLDiag1.1的自签名证书替换原来证书,测试结果无变化。

    另外请注意我的IIS为6.0 操作系统为2003 sp2 x86

    我另外有一个测试环境,没有发现类似问题。

    请帮忙分析下,万分感谢。

    2012年7月26日 5:43

答案

  • # for hex 0x80090304 / decimal -2146893052 :
      SEC_E_INTERNAL_ERROR                                          winerror.h
    # The Local Security Authority cannot be contacted

    可能是你的这张证书有问题,自签发的吗?它的密钥长度是多少?另一台正常机器上用的不是同一张证书吧?
    "The Local Security Authority Cannot Be Contacted" (Error 0x80090304) When You Try to Connect to a Remote Access Server
    http://support.microsoft.com/kb/813550

    另外,检查IIS及AppPool执行身份是否有权限访问MachineKey目录

    Default permissions for the MachineKeys folders
    http://support.microsoft.com/kb/278381

     


    2012年7月26日 5:58

全部回复

  • # for hex 0x80090304 / decimal -2146893052 :
      SEC_E_INTERNAL_ERROR                                          winerror.h
    # The Local Security Authority cannot be contacted

    可能是你的这张证书有问题,自签发的吗?它的密钥长度是多少?另一台正常机器上用的不是同一张证书吧?
    "The Local Security Authority Cannot Be Contacted" (Error 0x80090304) When You Try to Connect to a Remote Access Server
    http://support.microsoft.com/kb/813550

    另外,检查IIS及AppPool执行身份是否有权限访问MachineKey目录

    Default permissions for the MachineKeys folders
    http://support.microsoft.com/kb/278381

     


    2012年7月26日 5:58
  • # for hex 0x80090304 / decimal -2146893052 :
      SEC_E_INTERNAL_ERROR                                          winerror.h
    # The Local Security Authority cannot be contacted

    可能是你的这张证书有问题,自签发的吗?它的密钥长度是多少?另一台正常机器上用的不是同一张证书吧?
    "The Local Security Authority Cannot Be Contacted" (Error 0x80090304) When You Try to Connect to a Remote Access Server
    http://support.microsoft.com/kb/813550

    另外,检查IIS及AppPool执行身份是否有权限访问MachineKey目录

    Default permissions for the MachineKeys folders
    http://support.microsoft.com/kb/278381

    感谢 Finy的回复,

    因为我的DC2 本身安装了证书服务,所以一开始的证书是从DC2上申请的,1024位加密的,用SSLDiag1.1 察看证书状态是正常的,个人密钥状态也正常.

    但是出现以上问题,我用SSLDiag1.1的自签名证书替换了原证书,问题依旧.  另外的一套环境是独立的.

    关于MachineKeys folders,我在对应路经下只看到如下一个文件夹,不知道是不是MachineKeys folders

    C:\Documents and Settings\administrator.TEST\Application Data\Microsoft\Crypto\RSA\S-1-5-21-3494306721-1231754367-340770493-500

    我已经设置了管理员的所有权限和EveryOne的特殊权限,问题依旧.

    还请帮忙分析,多谢: )



    2012年7月26日 9:30
  • 你那个站点的AppPool执行身份是什么?IIS服务启动身份是什么?

    另外httperr的log里有说什么吗?

    不行就在客户端上fiddler抓一下证书交换过程,同时在Server上用procmon抓一下站点被访时对应w3wp进程行为,是否有Access Deny之类的

    2012年7月27日 2:32