Пожалуйста, помогите решить проблему - подключения пользователя к Web серверу с двухсторонней аутентификацией, когда сертификаты пользователя и сервера выпущены разными ЦС (центрами сертификатов).

Подробнее:

Есть Web сервер IIS с сайтом. Установлено КриптПро 5. Сайту на Web сервере установлен сертификат выпущенный от ЦС1. На WEB сервере настроена проверка клиента - требовать проверку сертификата клиента. на клиенте и сервере настроено доверие ЦС1. Если у клиента сертификат от ЦС1 тоже, то, сайт открывается и происходит проверка подлинности и сайта и пользователя - пока все ок.

Но, далее задача - разрешить доступ к сайту клиентам, сертификаты которых выпустил ЦС2. ЦС2 никак не связан с ЦС1 (т.е. это разные корневые УЦ).
На клиенте и на сервере настроено доверие и ЦС1 и ЦС2.
Но, клиенты с сертификатом от ЦС2 не могут подключиться к Web серверу у которого сертификат от ЦС1.

Подскажите, можно ли решить эту проблему и настроить так, чтобы клиенты с сертификатами ЦС2 могли бы подключаться к Web серверу к сайту с сертификатом от ЦС1. При этом чтобы происходила обязательная проверка сертификата пользователя?

Пока такое не удалось настроить - ошибка:

---

Server Error
403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.

---