先簡單說下原理

大概原理： 

采用SSL，在用戶使用瀏覽器訪問WEB服務器時，會在客戶端和服務器建立安全SSL通道。在SSL會話產生時： 

第一步 服務器會傳送它的服務器證書，客戶端會自動的分析服務器證書，來驗證服務器的身份。 

第二步 服務器會要求瀏覽器出示客戶端證書，服務器完成客戶端證書驗證以后，才來對用戶進行身份認證。這個認證是對客戶端證書的驗證包括驗證

客戶端證書是否由服務器新人的證書頒發機構頒發，客戶端證書是否在有效期內，客戶端證書是否有效（是否被竄改等）以及客戶端證書是否已經

被服務器吊銷等。  驗證通過以后，服務器會解析客戶端證書，獲取用戶信息，并根據用戶的信息查詢訪問控制列表來決定是否授權訪問。

因為客戶端證書被吊銷，驗證沒通過，  所有無權訪問，IIS 返回 403 . 13

IIS無法連接CA的CRL，導致所有證書都被認為是無效的。如果是在測試環境中，可以選擇禁止IIS檢查CRL，如果是正式運行環境，需要由CA的管理人員解決。因為一旦禁用IIS檢查CRL，就意味著所有由IIS信任的證書頒發機構頒發的證書，只有沒有過有效期，IIS都會認為是有效的。這樣對于正式的運行環境中是很危險的，因為不能保證CA永遠也不吊銷任何曾經頒發的證書。

1、首先確認系統安裝的服務

步驟：右鍵“我的電腦”à“管理”選擇左側的“角色”如下

請確認角色服務中安裝了以下服務：

2、具體操作步驟：“開始”à“運行”輸入cmdà點擊確定，進入dos界面

（1）使用CD命令進入AdminScripts文件夾。

示例：cd  C:\Inetpub\AdminScripts

（2）輸入：cscript adsutil.vbs set w3svc/certcheckmode 1(WIN2003+IIS6)

（3）cscript adsutil.vbs SET w3svc/n/CertCheckMode 1(WIN2008+IIS7)

  n 表示網站ID

注釋：CertCheckMode值為0，強制檢測CRL

CertCheckMode值為1，強制不檢測CRL