Fehler beim Öffnen einer IIS-Webseite: 403.7 Forbidden: Client certificate required

Dieser Artikel hilft Ihnen, das Problem zu beheben, bei dem beim Öffnen einer IIS-Webseite (Internetinformationsdienste) ein unerwarteter Laufzeitfehler ausgelöst werden kann.

Ursprüngliche Produktversion:   Internetinformationsdienste
Ursprüngliche KB-Nummer:   186812

Hinweis

Die Zielgruppe für diesen Artikel sind Websiteadministratoren oder Webentwickler. Wenn Sie ein Endbenutzer sind, der auf diesen Fehler gestoßen ist, empfehlen wir, dass Sie den Websiteadministrator um Anweisungen zum Abrufen des richtigen Clientzertifikats bitten.

Problembeschreibung

Sie verfügen über eine Website, die auf IIS gehostet wird. Wenn Sie in einem Webbrowser zur Website wechseln, wird möglicherweise eine Fehlermeldung angezeigt, die der folgenden ähnelt:

HTTP-Fehler 403
403.7 Forbidden: Clientzertifikat erforderlich

Ursache

Dieser Fehler tritt auf, wenn die Website ein Clientzertifikat anfordert und der Client entweder kein Zertifikat bereitstellt oder das vom Clientbrowser bereitgestellte Zertifikat abgelehnt wird. Clientzertifikate sind eine Art Secure Sockets Layer (SSL)-Zertifikat, das in der Regel verwendet wird, um einen Benutzer oder Computer für eine Website zu identifizieren.

Es folgen mehrere mögliche Ursachen für dieses Problem:

• Das Stammzertifikat (Zertifizierungsstellenzertifikat) des Clientzertifikats wird nicht auf dem Computer installiert, auf dem IIS ausgeführt wird.
• Das Clientzertifikat ist abgelaufen, oder die effektive Zeit wurde nicht erreicht.
• Das Clientzertifikat wurde widerrufen.
• Es ist kein gültiges Clientzertifikat verfügbar, oder auf einem potenziell gültigen Clientzertifikat ist kein zugeordneter privater Schlüssel installiert.

Lösung

Je nach Ursache des Problems können Sie eine der folgenden Lösungen ausprobieren:

• Wenn Sie kein Clientzertifikat für die Website haben und eines benötigen, wenden Sie sich an den Websiteadministrator, um Anweisungen zu erhalten.
• Überprüfen Sie das Ablaufdatum und die Uhrzeit des Zertifikats. Wenn Ihr Zertifikat abgelaufen ist, wenden Sie sich an den Websiteadministrator, um Anweisungen zu erhalten.

Hinweis

Die Clientzertifikatauthentifizierung kann aktiviert sein, wenn sie nicht erforderlich ist. Wenn Sie nur tls-/SSL-Kommunikation (Transport Layer Security) benötigen möchten, benötigen Sie nur ein Serverzertifikat. Sie können die Clientzertifikatauthentifizierung mithilfe der Auflösung im Fehler "HTTP-Fehler 403.7 - Verboten" deaktivieren, wenn Sie eine Webanwendung ausführen, die auf einem Server mit IIS 7.0 gehostet wird.

Überprüfen Sie, ob der Server, auf dem IIS ausgeführt wird, das Zertifikat als gültig ansieht.

1. Exportieren Sie das Zertifikat in eine . CER-Datei.
2. Kopieren Sie die . CER-Datei auf dem Server, auf dem IIS ausgeführt wird.
3. Öffnen Sie die . CER-Datei auf dem Server, auf dem IIS ausgeführt wird.
4. Sehen Sie sich die Registerkarte "Zertifizierungspfad" an. Wenn alle Zertifikate in der Kette ohne rotes Kreuz angezeigt werden, wird die Zertifikatkette vom Computer als vertrauenswürdig eingestuft. Wenn die Stammzertifizierungsstelle über ein rotes Kreuz verfügt, fahren Sie mit dem nächsten Schritt fort.

Manuelles Installieren des Stammzertifizierungsstellenzertifikats

Um dieses Problem zu beheben, installieren Sie das Stammzertifizierungsstellenzertifikat manuell. Führen Sie die folgenden Schritte aus:

1. Wählen Sie "Start", "Ausführen" aus, geben Sie "mmc" ein, und wählen Sie dann "OK" aus.
2. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
3. Wählen Sie im Dialogfeld "Snap-Ins hinzufügen oder entfernen" unter "Verfügbare Snap-Ins" die Option "Zertifikate" aus, und wählen Sie dann "Hinzufügen" aus.
4. Wählen Sie im Snap-In "Zertifikate" die Option "Computerkonto", zweimal "Fertig stellen" und dann "OK" aus.
5. Erweitern Sie unter Konsolenstamm Zertifikate (lokaler Computer).
6. Erweitern Sie vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie dann mit der rechten Maustaste auf "Zertifikate".
7. Wählen Sie "Alle Aufgaben" und dann "Importieren" aus.
8. Wählen Sie "Weiter" aus, und navigieren Sie dann zu dem Speicherort, an dem die Zertifikatdatei der Stammzertifizierungsstelle gespeichert ist.
9. Nachdem das Zertifikat ausgewählt wurde, wählen Sie zwei Mal "Weiter" und dann "Fertig stellen" aus.

Hinweis

Zertifikate der Zwischenzertifizierungsstelle sollten im Speicher für Zwischenzertifizierungsstellen und nicht im Speicher für vertrauenswürdige Stammzertifizierungsstellen installiert werden. Alle Zertifizierungsstellenzertifikate, deren Issued by Werte nicht identisch sind Issued to (und daher das Zertifikat nicht oben in der Hierarchie liegt) werden als Zwischenzertifizierungsstelle bezeichnet.

References

• Konfigurieren von vertrauenswürdigen Und nicht zugelassenen Zertifikaten

• Internetinformationsdienste (IIS) 8 kann Clientzertifikatsanforderungen mit HTTP 403.7- oder 403.16-Fehlern ablehnen.

• Vertrauenswürdige Stammzertifikate, die von Windows