Fehler beim Öffnen einer IIS-Webseite: 403.7 Unzulässig: Clientzertifikat erforderlich

In diesem Artikel erfahren Sie, wie Sie das Problem beheben, bei dem beim Öffnen einer Internetinformationsdienste-Webseite (IIS) möglicherweise ein unerwarteter Laufzeitfehler ausgelöst wird.

Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 186812

Symptome

Sie verfügen über eine Website, die in IIS gehostet wird. Wenn Sie die Website in einem Webbrowser aufrufen, erhalten Sie möglicherweise eine Fehlermeldung, die der folgenden ähnelt:

HTTP-Fehler 403
403.7 Verboten: Clientzertifikat erforderlich

Ursache

Dieser Fehler tritt auf, wenn die Website ein Clientzertifikat anfordert und der Client dann entweder keins bereitstellt oder das vom Clientbrowser bereitgestellte Zertifikat abgelehnt wird. Clientzertifikate sind eine Art SSL-Zertifikat (Secure Sockets Layer), das normalerweise verwendet wird, um einen Benutzer oder Computer für eine Website zu identifizieren.

Im Folgenden sind mehrere mögliche Ursachen für dieses Problem aufgeführt:

• Das Stammzertifikat (Zertifizierungsstellenzertifikat) des Clientzertifikats ist nicht auf dem Computer installiert, auf dem IIS ausgeführt wird.
• Das Clientzertifikat ist abgelaufen, oder die effektive Zeit wurde nicht erreicht.
• Das Clientzertifikat wurde widerrufen.
• Es ist kein gültiges Clientzertifikat verfügbar, oder für ein potenziell gültiges Clientzertifikat ist kein zugeordneter privater Schlüssel installiert.

Lösung

Versuchen Sie je nach Ursache ihres Problems eine der folgenden Lösungen:

• Wenn Sie über kein Clientzertifikat für den Standort verfügen und eines benötigen, wenden Sie sich an den Standortadministrator, um anweisungen zu erhalten.
• Überprüfen Sie das Ablaufdatum und die Uhrzeit des Zertifikats. Wenn Ihr Zertifikat abgelaufen ist, wenden Sie sich an den Websiteadministrator, um Anweisungen zu erhalten.

Überprüfen Sie, ob der Server, auf dem IIS ausgeführt wird, das Zertifikat als gültig erachtet.

1. Exportieren Sie das Zertifikat in ein . CER-Datei.
2. Kopieren Sie die . CER-Datei auf dem Server, auf dem IIS ausgeführt wird.
3. Öffnen Sie die . CER-Datei auf dem Server, auf dem IIS ausgeführt wird.
4. Sehen Sie sich die Registerkarte Zertifizierungspfad an. Wenn alle Zertifikate in der Kette ohne rotes Kreuz angezeigt werden, wird die Zertifikatkette vom Computer als vertrauenswürdig eingestuft. Wenn die Stammzertifizierungsstelle ein rotes Kreuz aufweist, fahren Sie mit den nächsten Schritten fort.

Manuelles Installieren des Zertifikats der Stammzertifizierungsstelle

Installieren Sie das Zertifikat der Stammzertifizierungsstelle manuell, um dieses Problem zu beheben. Führen Sie die folgenden Schritte aus:

1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie mmc ein, und wählen Sie dann OK aus.
2. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
3. Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen unter Verfügbare Snap-Insdie Option Zertifikate und dann Hinzufügen aus.
4. Wählen Sie im Zertifikat-Snap-InComputerkonto, zweimal fertig stellen und dann OK aus.
5. Erweitern Sie unter Konsolenstammdie Option Zertifikate (Lokaler Computer).
6. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie dann mit der rechten Maustaste auf Zertifikate.
7. Wählen Sie Alle Aufgaben und dann Importieren... aus.
8. Wählen Sie Weiter aus, und navigieren Sie dann zu dem Speicherort, an dem die Zertifikatdatei der Stammzertifizierungsstelle gespeichert ist.
9. Nachdem das Zertifikat ausgewählt wurde, wählen Sie zweimal Weiter und dann Fertig stellen aus.

References

• Konfigurieren von vertrauenswürdigen Stammelementen und unzulässigen Zertifikaten

• Internetinformationsdienste (IIS) 8 können Clientzertifikatanforderungen mit HTTP-Fehlern 403.7 oder 403.16 ablehnen

• Vertrauenswürdige Stammzertifikate, die für Windows erforderlich sind