Ошибка при открытии веб-страницы IIS: 403.7 Запрещено: требуется сертификат клиента
Эта статья поможет устранить проблему, из-за которой при открытии веб-страницы служб IIS может возникнуть непредвиденная ошибка среды выполнения.
Оригинальная версия продукта: службы IIS
Исходный номер базы знаний: 186812
Примечание.
Целевая аудитория этой статьи — администраторы веб-сайтов или веб-разработчики. Если вы являетесь конечным пользователем, который столкнулся с этой ошибкой, рекомендуем обратиться к администратору сайта за инструкциями по получению правильного сертификата клиента.
Симптомы
У вас есть веб-сайт, размещенный в СЛУЖБАх IIS. При переходе на веб-сайт в веб-браузере может появиться сообщение об ошибке, похожее на следующее:
Ошибка HTTP 403
403.7 Запрещено: требуется сертификат клиента
Причина
Эта ошибка возникает, когда веб-сайт запрашивает сертификат клиента, а затем клиент либо не предоставляет его, либо сертификат, предоставленный клиентским браузером, отклоняется. Сертификаты клиента — это своего рода SSL-сертификат, который обычно используется для идентификации пользователя или компьютера на веб-сайте.
Ниже приведено несколько возможных причин этой проблемы.
- Корневой сертификат (сертификат центра сертификации) сертификата клиента не установлен на компьютере, на котором запущены службы IIS.
- Срок действия сертификата клиента истек или срок действия не достигнут.
- Сертификат клиента был отозван.
- Действительный сертификат клиента недоступен, или для потенциально допустимого сертификата клиента не установлен связанный закрытый ключ.
Разрешение
В зависимости от причины проблемы попробуйте одно из следующих решений:
- Если у вас нет сертификата клиента для сайта и он вам нужен, обратитесь к администратору сайта за инструкциями.
- Проверьте дату и время окончания срока действия сертификата. Если срок действия сертификата истек, обратитесь к администратору сайта за инструкциями.
Примечание.
Проверка подлинности на основе сертификата клиента может быть включена, если она не требуется. Если требуется только протокол TLS/SSL, вам потребуется только сертификат сервера. Вы можете отключить проверку подлинности с помощью сертификата клиента, выполнив решение ошибки "Ошибка HTTP 403.7 — запрещено" при запуске веб-приложения, размещенного на сервере под управлением IIS 7.0.
Проверка того, считает ли сервер, на котором запущены СЛУЖБЫ IIS, действительным сертификат
- Экспорт сертификата в . CER-файл.
- Скопируйте . CER-файл на сервере, на котором выполняются службы IIS.
- Откройте . CER-файл на сервере, на котором выполняются службы IIS.
- Перейдите на вкладку Путь сертификации . Если все сертификаты в цепочке отображаются без красного креста, то компьютер доверяет цепочке сертификатов. Если корневой центр сертификации имеет красный крест, перейдите к следующему набору действий.
Установка сертификата корневого центра сертификации вручную
Чтобы устранить эту проблему, установите сертификат корневого центра сертификации вручную. Выполните следующие действия.
- Нажмите кнопку Пуск, выберите Выполнить, введите mmc, а затем нажмите кнопку ОК.
- В меню Файл выберите Добавить или удалить оснастку.
- В диалоговом окне Добавление и удаление оснастки выберите Сертификаты в разделе Доступные оснастки, а затем нажмите кнопку Добавить.
- В оснастке Сертификаты выберите Учетная запись компьютера, дважды нажмите кнопку Готово , а затем нажмите кнопку ОК.
- В разделе Корневой каталог консоли разверните узел Сертификаты (локальный компьютер).
- Разверните узел Доверенные корневые центры сертификации, а затем щелкните правой кнопкой мыши Пункт Сертификаты.
- Выберите Все задачи, а затем импорт ....
- Нажмите кнопку Далее, а затем перейдите в расположение, в котором хранится файл сертификата корневого ЦС.
- После выбора сертификата нажмите кнопку Далее два раза, а затем нажмите кнопку Готово.
Примечание.
Промежуточные сертификаты ЦС должны быть установлены в хранилище промежуточных центров сертификации, а не в хранилище доверенных корней. Любой сертификат центра сертификации, значения и Issued to
значения которого Issued by
не совпадают (и поэтому сертификат не находится в верхней части иерархии), называется промежуточным ЦС.
Ссылки
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по