Errore durante l'apertura di una pagina Web IIS: 403.7 Accesso negato: Certificato client obbligatorio

Questo articolo consente di risolvere il problema in cui potrebbe essere generato un errore di runtime imprevisto quando si apre una pagina Web di Internet Information Services (IIS).

Versione originale del prodotto: Internet Information Services
Numero KB originale: 186812

Nota

Il gruppo di destinatari di questo articolo è costituito da amministratori di siti Web o sviluppatori Web. Se si è un utente finale che ha riscontrato questo errore, è consigliabile rivolgersi all'amministratore del sito per istruzioni su come ottenere il certificato client corretto.

Sintomi

Si dispone di un sito Web ospitato in IIS. Quando si passa al sito Web in un Web browser, è possibile che venga visualizzato un messaggio di errore simile al seguente:

Errore HTTP 403
403.7 Accesso negato: certificato client obbligatorio

Causa

Questo errore si verifica quando il sito Web richiede un certificato client e quindi il client non ne fornisce uno o il certificato fornito dal browser client viene rifiutato. I certificati client sono una sorta di certificato SSL (Secure Sockets Layer) in genere usato per identificare un utente o un computer in un sito Web.

Di seguito sono riportate diverse possibili cause di questo problema:

• Il certificato radice (certificato dell'autorità di certificazione) del certificato client non è installato nel computer che esegue IIS.
• Il certificato client è scaduto o non è stato raggiunto il tempo effettivo.
• Il certificato client è stato revocato.
• Non è disponibile alcun certificato client valido o un certificato client potenzialmente valido non dispone di una chiave privata associata installata.

Risoluzione

A seconda della causa del problema, provare una delle soluzioni seguenti:

• Se non si dispone di un certificato client per il sito e ne è necessario uno, contattare l'amministratore del sito per istruzioni.
• Controllare la data e l'ora di scadenza del certificato. Se il certificato è scaduto, contattare l'amministratore del sito per istruzioni.

Nota

L'autenticazione del certificato client può essere abilitata quando non è necessaria. Se si intende solo richiedere comunicazioni TLS(Transport Layer Security)/SSL, è necessario solo un certificato server. È possibile disabilitare l'autenticazione del certificato client usando la risoluzione nell'errore "Errore HTTP 403.7 - Accesso negato" quando si esegue un'applicazione Web ospitata in un server che esegue IIS 7.0.

Controllare se il server che esegue IIS considera valido il certificato

1. Esportare il certificato in un oggetto . File CER.
2. Copiare l'oggetto . File CER al server che esegue IIS.
3. Aprire l'oggetto . File CER nel server che esegue IIS.
4. Esaminare la scheda Percorso di certificazione . Se tutti i certificati nella catena vengono visualizzati senza una croce rossa, la catena di certificati è considerata attendibile dal computer. Se l'autorità di certificazione radice ha una croce rossa, continuare con il set di passaggi successivo.

Installare manualmente il certificato dell'autorità di certificazione radice

Per risolvere questo problema, installare manualmente il certificato dell'autorità di certificazione radice. Seguire questa procedura:

1. Selezionare Start, selezionare Esegui, digitare mmc e quindi selezionare OK.
2. Nel menu File, selezionare Aggiungi/Rimuovi snap-in.
3. Nella finestra di dialogo Aggiungi o rimuovi snap-in selezionare Certificatiin Snap-in disponibili e quindi selezionare Aggiungi.
4. Nello snap-in Certificati selezionare Account computer, selezionare Fine due volte e quindi selezionare OK.
5. In Radice console espandere Certificati (computer locale).
6. Espandere Autorità di certificazione radice attendibili e quindi fare clic con il pulsante destro del mouse su Certificati.
7. Selezionare Tutte le attività e quindi Importa.
8. Selezionare Avanti e quindi passare al percorso in cui è archiviato il file del certificato CA radice.
9. Dopo aver selezionato il certificato, selezionare Avanti due volte e quindi fine.

Nota

I certificati CA intermedi devono essere installati nell'archivio Autorità di certificazione intermedie anziché nell'archivio Radice attendibili. Qualsiasi certificato dell'autorità di certificazione i cui Issued by valori e Issued to non sono uguali (e quindi il certificato non si trova all'inizio della gerarchia) è noto come CA intermedia.

Riferimenti

• Configurare radici attendibili e certificati non consentiti

• Internet Information Services (IIS) 8 può rifiutare le richieste di certificati client con errori HTTP 403.7 o 403.16

• Certificati radice attendibili richiesti da Windows