先簡單說下原理

大概原理： 

采用SSL，在用戶（hù）使用瀏覽器訪問WEB服務器時，會（huì）在客戶端和（hé）服務器建（jiàn）立安全SSL通道。在SSL會話（huà）產生時： 

第一步 服務器會傳送它的服務器證書，客戶端會自動的分析服務器證書，來驗證服務器的身（shēn）份（fèn）。 

第二（èr）步 服務器會要求瀏覽器出示客戶端證書，服務器完成客戶端證書驗證以後（hòu），才來（lái）對用戶進行身份認證。這個認證是對客（kè）戶端（duān）證書的驗證包括驗證（zhèng）

客戶端證書是否由服務器新人的證書頒發機構頒發，客戶端（duān）證書是否在有（yǒu）效期內，客戶端證書是否有效（是否被竄改等）以及客戶端證書是否已經（jīng）

被服務器（qì）吊銷等。  驗證通過以後，服務（wù）器會解（jiě）析（xī）客戶端證書，獲取用（yòng）戶（hù）信息，並根據用戶的信息查詢訪問控製列表來（lái）決定是否授權訪問。

因為客戶端證書被吊銷，驗證沒通過，  所有（yǒu）無權訪問，IIS 返回 403 . 13

IIS無（wú）法連接（jiē）CA的CRL，導致所有證書（shū）都被認為是無效（xiào）的。如果是在測試環境中，可以選擇禁止（zhǐ）IIS檢查CRL，如果是正式運行（háng）環境，需要由CA的管理人員（yuán）解決。因為一旦禁用IIS檢查CRL，就意味著所有由IIS信（xìn）任的證書頒發機構頒發的證書，隻（zhī）有沒有過有效期，IIS都會認為是有（yǒu）效的。這樣對於（yú）正式的運行環境中是很危險的，因為不能保證CA永遠也不（bú）吊銷任何曾經頒發的證書（shū）。

1、首先確認係統安裝的服務

步驟：右鍵“我的電腦（nǎo）”à“管理”選擇左側（cè）的“角色”如下

請確認角色服務中安裝（zhuāng）了以下服務：

2、具體操（cāo）作步驟：“開始”à“運（yùn）行”輸入cmdà點擊確定，進入dos界麵

（1）使用CD命令進入AdminScripts文件夾。

示例：cd  C:\Inetpub\AdminScripts

（2）輸入（rù）：cscript adsutil.vbs set w3svc/certcheckmode 1(WIN2003+IIS6)

（3）cscript adsutil.vbs SET w3svc/n/CertCheckMode 1(WIN2008+IIS7)

  n 表示網站（zhàn）ID

注釋：CertCheckMode值為0，強製檢測CRL

CertCheckMode值為1，強製不（bú）檢（jiǎn）測CRL