Error "403.7 Prohibido: Se necesita un certificado de cliente" al abrir una página web de IIS

Seleccione idioma Seleccione idioma
En este artículo se describe el mensaje de error HTTP 403.7. Si es un usuario final que ha encontrado este error, le recomendamos que pregunte al administrador del sitio para conseguir instrucciones sobre cómo obtener el certificado de cliente correcto.

En este artículo

Show all imageMostrar todoHide all imageOcultar todo

Síntomas

Tiene un sitio web hospedado en Internet Information Services (IIS). Cuando va al sitio web en un explorador web, puede recibir un mensaje de error similar al siguiente:

HTTP Error 403
403.7 Prohibido: Se necesita un certificado de cliente

Causa

Este error se produce cuando el sitio web solicita un certificado de cliente y, a continuación, el cliente no proporciona uno o el certificado proporcionado por el explorador cliente es rechazado. Los certificados de cliente son un tipo de certificado Capa de sockets seguro (SSL) que se suele usar para identificar a un usuario o a un equipo en un sitio web. 

A continuación se indican varias causas posibles de este problema:
  • El certificado raíz (certificado de entidad de certificación) del certificado de cliente no está instalado en el equipo en el que se ejecuta IIS.
  • El certificado de cliente ha expirado o no se ha alcanzado el tiempo efectivo.
  • El certificado de cliente se revocó.
  • No hay un certificado de cliente válido o un certificado de cliente potencialmente válido no tiene una clave privada asociada instalada.

Solución

Para usuarios finales

Dependiendo de la causa del problema, pruebe una de las siguientes soluciones:
  • Si no tiene un certificado de cliente para el sitio y necesita uno, póngase en contacto con el administrador del sitio para obtener instrucciones.
  • Asegúrese de que ha llegado la hora y fecha de expiración del certificado. Si el certificado ha expirado, póngase en contacto con el administrador del sitio para obtener instrucciones.

Para administradores de sitios

Nota La autenticación del certificado cliente puede estar habilitada donde no se requiere. Si su intención era solamente requerir comunicaciones TLS/SSL, entonces simplemente necesita un certificado de servidor. Puede deshabilitar la autenticación del certificado de cliente usando la resolución del siguiente artículo de Microsoft Knowledge Base:
KB942067 Aparece un mensaje de error cuando intenta ejecutar una aplicación web que está hospedada en un servidor que está ejecutando IIS 7.0: "HTTP Error 403,7: prohibido"

Para comprobar si el servidor en el que se ejecuta IIS considera el certificado válido, puede seguir estos pasos:
  1. Exportar el certificado a un archivo .CER.
  2. Copiar el certificado .CER en el servidor en el que se ejecuta IIS.
  3. Abrir el certificado .CER en el servidor en el que se ejecuta IIS.
  4. Mirar a la pestaña Ruta de certificación. Si todos los certificados de la cadena se muestran sin una "cruz" roja, entonces el equipo confía en la cadena de certificados. Si la autoridad de certificación tiene una cruz roja continua, continúe con el siguiente conjunto de pasos.

Para resolver este problema, instale el certificado de la autoridad de certificación raíz manualmente. Para ello, siga estos pasos:
  1. Haga clic en Inicio, después en Ejecutar, escriba mmc y haga clic en Aceptar.
  2. En el menú Archivo, haga clic en Agregar o quitar complemento.
  3. En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados bajo Complementos disponibles y, a continuación, haga clic en Agregar.
  4. En el cuadro de diálogo Complemento Certificados, haga clic en Cuenta de equipo después haga clic en Finalizar dos veces y, por último en Aceptar.
  5. En Raíz de consola, expanda Certificados (equipo local).
  6. Expanda Entidades de certificación raíz de confianza y, a continuación, haga clic con el botón secundario en Certificados.
  7. Seleccione Todas las tareas y haga clic en Importar....
  8. Haga clic en Siguiente y navegue a la ubicación en la que se encuentra almacenado el archivo de certificado CA raíz .
  9. Una vez seleccionado el certificado, haga clic en Siguiente dos veces y, a continuación, haga clic en Finalizar.

Nota Los certificados de CA intermedios se deben instalar en el almacén Entidades de certificación intermedias y no en el almacén Raíces de confianza. Cualquier certificado de entidad de certificación cuyos valores Emitido por y Emitido para no coincidan (y por lo tanto el certificado no se encuentre en la parte superior de la jerarquía) se conoce como "CA intermedia".

Referencias

  • KB931125 Cómo obtener una actualización de certificados raíz de Windows
  • KB332077 IIS 6.0: El equipo debe confiar en todas las autoridades de certificación en las que confían los sitios individuales
  • KB2802568 Internet Information Services (IIS) 8 puede rechazar solicitudes de certificado cliente con errores HTTP 403.7 o 403.16 (Puede que esté en inglés)
  • KB293781 Certificados raíz de confianza que Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP y Windows 2000 requieren

Acerca de este artículo

Id. de artículo: 186812
Última revisión: viernes, 15 de agosto de 2014
La información de este artículo se refiere a:: Servicios de Microsoft Internet Information Server 3.0, Microsoft Internet Information Server 4.0, Servicios de Microsoft Internet Information Server 5.0, Servicios de Microsoft Internet Information Server 6.0, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 7.5
¿Desea realizar algún comentario sobre este artículo?
 

Get more support from smallbusiness.support.microsoft.com

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.