IIS 6.0: Computer muss alle Zertifizierungsstellen vertrauenswürdig einzelne Sites vertrauen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 332077 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Wenn Sie eine Website in Internetinformationsdienste (IIS) 5.0, die Client-Zertifikate erfordert, wenn Sie den Server auf Microsoft Windows Server 2003 mit IIS 6.0 zu aktualisieren, möglicherweise Clients, die die Verbindung zur Website herstellen eine der folgenden Fehlermeldungen angezeigt, obwohl die Clientzertifikate nicht von einer Zertifikatsvertrauensliste (CTL) gesteuert werden:
HTTP 403.16 Verboten: Client Zertifikat nicht vertrauenswürdig oder ungültig.
Client HTTP 403.16 Verboten: Zertifikat ist falsch formatiertes oder der Webserver nicht vertrauenswürdig.
HTTP-Fehler 403.7: Verboten: SSL-Clientzertifikat ist erforderlich.
Wenn der Client-Website zugreift, kann nicht auf der Client das Dialogfeld Clientauthentifizierung im Browser angezeigt (das Clientauthentifizierung Dialogfeld können Sie das Clientzertifikat auswählen, das Sie für den Zugriff auf die Website verwenden möchten). Wenn der Client das Dialogfeld Clientauthentifizierung empfängt, kann die Zertifikat-Liste im Dialogfeld Clientauthentifizierung das Clientzertifikat nicht auflisten.

Ursache

Dies kann auftreten, wenn das Clientzertifikat von einer Zertifizierungsstelle erstellt wurde, die der IIS-Computer nicht vertraut.

Weitere Informationen

In IIS 5.0 können Sie eine CTL angeben, die Zertifizierungsstellen enthält, deren Zertifikaten der Stammzertifizierungsstelle in den persönlichen Zertifikatspeicher des lokalen Computers installiert sind. Allerdings müssen in IIS 6.0 Zertifikaten die Stammzertifizierungsstelle im Zertifikatspeicher für lokalen Computer vertrauenswürdiger Stammzertifizierungsstellen installiert sein. Mit dieser Änderung überprüft IIS 6.0 Zertifikate basierend auf Regeln, die in der Crypto API angegeben sind. Crypto API lehnt Zertifikate ab, wenn Zertifikaten die Stammzertifizierungsstelle nicht im Zertifikatspeicher lokalen Computers vertrauenswürdige Stammzertifizierungsstellen installiert sind.

Lösung

Den Fehler beheben und das Zertifikat im Browser anzeigen möchten, müssen Sie das Stammzertifizierungsstellen-Zertifikat in der lokalen Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungsstellen installieren.
  1. Fügen Sie ein Zertifikat Snap-in für den lokalen Computer hinzu:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie Mmc ein und klicken Sie dann auf OK .
    2. Klicken Sie auf Software-Snap-in im Menü Datei und klicken Sie dann auf Hinzufügen .
    3. Doppelklicken Sie unter -Snap-in auf Zertifikate , wählen Sie Computerkonto , und klicken Sie dann auf Weiter .
    4. Wählen Sie Lokaler Computer , klicken Sie auf Fertig stellen und klicken Sie dann auf Schließen .
    5. Klicken Sie auf OK , um den Assistenten zu beenden.
  2. Exportieren Sie das Zertifikat aus dem lokalen Computer persönliche Zertifikatsspeicher:
    1. Doppelklicken Sie in das Snap-In für den lokalen Computer auf Zertifikate (lokaler Computer) , doppelklicken Sie auf Eigene und doppelklicken Sie auf Zertifikate .
    2. Klicken Sie mit der rechten Maustaste auf das Zertifikat der Stammzertifizierungsstelle für die Zertifizierungsstelle, die der Client Zertifikate ausstellt, Klicken Sie auf und klicken Sie dann auf Exportieren , zum Öffnen des Zertifikatsexport-Assistenten.
    3. Klicken Sie auf Weiter , wählen Sie ein Format für den Export, geben Sie das Verzeichnis, in denen Sie möchten, speichern das exportierte Zertifikat, klicken Sie auf Weiter und klicken Sie dann auf Fertig stellen .

      Hinweis: Das Format DER-codiertes binäres x. 509 und die Base64-codierte x. 509-Format werden für die Interoperabilität verwendet, wenn die Zertifizierungsstelle kein Windows 2000-Server ist. Wenn Sie den Zertifizierungsstelle Authority-Typ nicht kennen, verwenden Sie diese Formate.
  3. Importieren Sie das Zertifikat in der lokalen Zertifikatsspeicher für vertrauenswürdige Stammzertifizierungsstellen:
    1. Doppelklicken Sie im Snap-in für den lokalen Computer auf Vertrauenswürdige Stammzertifizierungsstellen , doppelklicken Sie auf Zertifikate , klicken Sie mit der rechten Maustaste auf Alle Tasks , und klicken Sie dann auf Importieren , um den Zertifikatsimport-Assistent gestartet.
    2. Klicken Sie auf Weiter , geben Sie das exportierte Zertifikat, das Sie im Schritt 2 erstellt haben, und klicken Sie dann auf Öffnen .
    3. Klicken Sie auf Weiter . Überprüfen Sie, dass setzen alle Zertifikate in folgendem Speicher speichern ausgewählt ist und die Speicherung Vertrauenswürdige Stammzertifizierungsstellen Listet .
    4. Klicken Sie auf Weiter , und klicken Sie dann auf Fertig stellen .
Dieses Fehlermeldung kann auch anzeigen, dass der Administrator zuvor eine bestimmten Trust List durch Aktivieren des Kontrollkästchens Zertifikatsvertrauensliste aktivieren und füllen das Dialogfeld mit einem oder mehreren Stamm Zertifikaten konfiguriert wurde. Wenn das Kontrollkästchen Zertifikatsvertrauensliste aktivieren aktiviert ist, überprüfen Sie, dass in der Liste das erwarteten Serverzertifikat angezeigt wird. Dies umfasst alle erneuerten Zertifikate. Gehen Sie hierzu folgendermaßen vor:
  1. Öffnen Sie die IIS-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf die Website, bei dem den Fehler auftritt und Klicken Sie dann auf .
  2. Klicken Sie auf die Registerkarte Verzeichnissicherheit .
  3. Klicken Sie unter sichere Kommunikation auf Bearbeiten .
  4. Wenn das Kontrollkästchen Zertifikatsvertrauensliste aktivieren aktiviert ist und das Feld Aktuelle CTL wird gefüllt, können Sie Folgendes tun:
    1. Deaktivieren Sie das Kontrollkästchen Zertifikatsvertrauensliste aktivieren . Dadurch wird IIS für alle Zertifikate im Zertifikatspeicher Servers aktiviert.
    2. Klicken Sie auf Bearbeiten , und folgen Sie die Eingabeaufforderungen im Assistenten die für Zertifikatsvertrauenslisten um das Zertifikat entsprechenden Server hinzuzufügen.

      Hinweis: Bearbeiten ist nur verfügbar, wenn die Liste mit ein oder mehrere Zertifikate aus dem Zertifikatspeicher Server aufgefüllt wird.
    3. Klicken Sie auf " OK ", wenn Sie aufgefordert werden.
  5. Testen Sie eine Seite, die ein Clientzertifikat benötigt.

Informationsquellen

Weitere Informationen zu Zertifikatsvertrauenslisten finden Sie in der Produktdokumentation. Um dieser Dokumentation anzuzeigen, die folgende Microsoft-Website:
http://technet.microsoft.com/en-us/windowsserver/default.aspx
Sie können die Produktdokumentation auch über den IIS-Manager aufrufen. Informationen dazu, wie Zugriff auf diese Hilfefunktion, finden Sie die folgende KB-Artikelnummer:
815127Zum Zugriff auf IIS 6.0-Hilfedokumentation

Eigenschaften

Artikel-ID: 332077 - Geändert am: Montag, 3. Dezember 2007 - Version: 3.6
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Server 1.01
  • Microsoft Internet Information Services 6.0
Keywords: 
kbmt kbpending kbprb KB332077 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 332077
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com