Fel när du öppnar en IIS-webbsida: 403.7 Förbjudet: Klientcertifikat krävs

  • Artikel

Den här artikeln hjälper dig att lösa problemet där ett oväntat körningsfel kan uppstå när du öppnar en IIS-webbsida (Internet Information Services).

Ursprunglig produktversion: Internet Information Services
Ursprungligt KB-nummer: 186812

Obs!

Målgruppen för den här artikeln är webbplatsadministratörer eller webbutvecklare. Om du är en slutanvändare som har stött på det här felet rekommenderar vi att du ber webbplatsadministratören om instruktioner om hur du hämtar rätt klientcertifikat.

Symptom

Du har en webbplats som finns på IIS. När du går till webbplatsen i en webbläsare kan du få ett felmeddelande som liknar följande:

HTTP-fel 403
403.7 Förbjudet: Klientcertifikat krävs

Orsak

Det här felet uppstår när webbplatsen begär ett klientcertifikat och klienten antingen inte anger något eller om certifikatet som tillhandahålls av klientwebbläsaren avvisas. Klientcertifikat är ett slags SSL-certifikat (Secure Sockets Layer) som vanligtvis används för att identifiera en användare eller dator på en webbplats.

Följande är flera möjliga orsaker till det här problemet:

  • Rotcertifikatet (certifikatutfärdarcertifikatet) för klientcertifikatet är inte installerat på den dator som kör IIS.
  • Klientcertifikatet har upphört att gälla eller så har den effektiva tiden inte uppnåtts.
  • Klientcertifikatet har återkallats.
  • Inget giltigt klientcertifikat är tillgängligt eller så har ett potentiellt giltigt klientcertifikat inte någon associerad privat nyckel installerad.

Åtgärd

Beroende på orsaken till problemet kan du prova någon av följande lösningar:

  • Om du inte har något klientcertifikat för platsen och du behöver ett, kontaktar du platsadministratören för instruktioner.
  • Kontrollera certifikatets förfallodatum och tid. Om certifikatet har upphört att gälla kontaktar du webbplatsadministratören för att få instruktioner.

Obs!

Klientcertifikatautentisering kan aktiveras om det inte krävs. Om du endast avsåg att kräva TLS-/SSL-kommunikation (Transport Layer Security) behöver du bara ett servercertifikat. Du kan inaktivera autentisering av klientcertifikat med hjälp av lösningen i felet "HTTP-fel 403.7 – Förbjudet" när du kör ett webbprogram som finns på en server som kör IIS 7.0.

Kontrollera om servern som kör IIS anser att certifikatet är giltigt

  1. Exportera certifikatet till en . CER-fil.
  2. Kopiera . CER-fil till den server som kör IIS.
  3. Öppna . CER-fil på servern som kör IIS.
  4. Titta på fliken Certifieringssökväg . Om alla certifikat i kedjan visas utan ett rött kors är certifikatkedjan betrodd av datorn. Om rotcertifikatutfärdare har ett rött kors mot sig fortsätter du till nästa uppsättning steg.

Installera certifikatet för rotcertifikatutfärdare manuellt

Lös problemet genom att installera rotcertifikatutfärdarcertifikatet manuellt. Följ följande steg:

  1. Välj Start, kör, skriv mmc och välj sedan OK.
  2. Arkiv-menyn väljer du Lägg till/ta bort snapin-modul.
  3. I dialogrutan Lägg till eller ta bort snapin-moduler väljer du Certifikat under Tillgängliga snapin-moduler och väljer sedan Lägg till.
  4. I snapin-modulen Certifikat väljer du Datorkonto, Slutför två gånger och sedan OK.
  5. Under Konsolrotexpanderar du Certifikat (lokal dator).
  6. Expandera Betrodda rotcertifikatutfärdare och högerklicka sedan på Certifikat.
  7. Välj Alla aktiviteter och välj sedan Importera....
  8. Välj Nästa och navigera sedan till den plats där rotcertifikatutfärdarcertifikatfilen lagras.
  9. När certifikatet har valts väljer du Nästa två gånger och sedan Slutför.

Obs!

Mellanliggande CA-certifikat bör installeras i arkivet Mellanliggande certifikatutfärdare i stället för i arkivet Betrodda rötter. Certifikatutfärdarcertifikat vars Issued by värden och Issued to värden inte är samma (och därför är certifikatet inte överst i hierarkin) kallas för en mellanliggande certifikatutfärdare.

Referenser