Вопрос

При использовании https соединения между клиентом и сервером происходит ошибка. В логах ошибки 403, 403.16.

Ответ

1. Убедитесь, что для сервера Indeed AM включена настройка "Принимать" для клиентских сертификатов. 

2. Убедитесь, что клиентский сертификат добавлен в доверенное хранилище. Подробнее по ссылке.

3. Убедитесь, что используется валидный сертификат сервера, в противном случае необходимо установить значение "1" для параметра "IsIgnoreCertErrors" для используемого компонента.

4. В Windows 2012 и выше введена более строгая проверка хранилища сертификатов. Согласно KB 2795828: Внешняя служба Lync Server 2013 не сможет запустится если хранилище доверенных корневых центров сертификации содержать не только самозаверяющие сертификаты. Если это хранилище содержит несамозаверяющие сертификаты, то проверка подлинности сертификата клиента в IIS вернется с ошибкой 403.16. Рекомендации из статьи Microsoft решают данную проблему.

Проверить наличие несамозаверяющих можно через PS: Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}
Запрос должен возвращать пустую строку.

5. Добавьте в реестр по пути "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL" значение типа DWORD с именем "ClientAuthTrustMode" и значением 2. Убедитесь что по данному пути отсутствует или имеет значение 0 ключ "SendTrustedIssuerList", при необходимости удалите ключ или задайте значение 0. После выполнения действий необходимо выполнить перезагрузку.