Наиболее вероятные причины:
- IIS не может получить список отозванных сертификатов (СОС, CRL) по URL указанному в поле CDP сертификата;
- Неверно настроено сопоставление сертификатов и клиентов (версия 1.1 не полностью поддерживает такое сопоставление, если дело в нем, то рекомендуем использовать версию 2.0);
- Сертификат клиента и сертификат сервера получены от разных УЦ;
- Сертификат клиента не имеет соответствующего назначения;
- Сертификат клиента некорректно связан с контейнером секретного ключа или пользователь Windows не имеет к нему доступа (скажем, из-за особенностей системы разграничения доступа Windows NT/2000/XP если пользователь входил ранее в группу Администраторы, а теперь нет).