先简单说下原理

大概原理： 

采用SSL，在用户使用浏览器访问WEB服务器时，会在客户端和服务器建立安全SSL通道。在SSL会话产生时： 

第一步 服务器会传送它的服务器证书，客户端会自动的分析服务器证书，来验证服务器的身份。 

第二步 服务器会要求浏览器出示客户端证书，服务器完成客户端证书验证以后，才来对用户进行身份认证。这个认证是对客户端证书的验证包括验证

客户端证书是否由服务器新人的证书颁发机构颁发，客户端证书是否在有效期内，客户端证书是否有效（是否被窜改等）以及客户端证书是否已经

被服务器吊销等。  验证通过以后，服务器会解析客户端证书，获取用户信息，并根据用户的信息查询访问控制列表来决定是否授权访问。

因为客户端证书被吊销，验证没通过，  所有无权访问，IIS 返回 403 . 13

IIS无法连接CA的CRL，导致所有证书都被认为是无效的。如果是在测试环境中，可以选择禁止IIS检查CRL，如果是正式运行环境，需要由CA的管理人员解决。因为一旦禁用IIS检查CRL，就意味着所有由IIS信任的证书颁发机构颁发的证书，只有没有过有效期，IIS都会认为是有效的。这样对于正式的运行环境中是很危险的，因为不能保证CA永远也不吊销任何曾经颁发的证书。

1、首先确认系统安装的服务

步骤：右键“我的电脑”à“管理”选择左侧的“角色”如下

请确认角色服务中安装了以下服务：

2、具体操作步骤：“开始”à“运行”输入cmdà点击确定，进入dos界面

（1）使用CD命令进入AdminScripts文件夹。

示例：cd  C:\Inetpub\AdminScripts

（2）输入：cscript adsutil.vbs set w3svc/certcheckmode 1(WIN2003+IIS6)

（3）cscript adsutil.vbs SET w3svc/n/CertCheckMode 1(WIN2008+IIS7)

  n 表示网站ID

注释：CertCheckMode值为0，强制检测CRL

CertCheckMode值为1，强制不检测CRL