Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта статья поможет устранить проблему, из-за которой при открытии веб-страницы службы IIS (IIS) может возникнуть непредвиденная ошибка среды выполнения.
Исходная версия продукта: службы IIS
Исходный номер базы знаний: 186812
Примечание.
Целевая аудитория этой статьи — администраторы веб-сайтов или веб-разработчики. Если вы являетесь конечным пользователем, который столкнулся с этой ошибкой, рекомендуется обратиться к администратору сайта с инструкциями по получению правильного сертификата клиента.
Симптомы
У вас есть веб-сайт, размещенный в службах IIS. При переходе на веб-сайт в веб-браузере может появиться сообщение об ошибке, похожее на следующее:
Ошибка HTTP 403
403.7 Запрещено: обязательный сертификат клиента
Причина
Эта ошибка возникает, когда веб-сайт запрашивает сертификат клиента, а затем клиент либо не предоставляет его, либо сертификат, предоставленный браузером клиента, отклоняется. Сертификаты клиента — это тип SSL-сертификата, который обычно используется для идентификации пользователя или компьютера на веб-сайте.
Ниже приведены несколько возможных причин этой проблемы:
- Корневой сертификат (сертификат центра сертификации) сертификата клиента не установлен на компьютере под управлением IIS.
- Срок действия сертификата клиента истек или срок действия не достигнут.
- Сертификат клиента был отозван.
- Допустимый сертификат клиента недоступен, или потенциально допустимый сертификат клиента не имеет связанного закрытого ключа.
Решение
В зависимости от причины проблемы попробуйте одно из следующих способов:
- Если у вас нет сертификата клиента для сайта, и вам нужен его, обратитесь к администратору сайта по инструкциям.
- Проверьте дату и время окончания срока действия сертификата. Если срок действия сертификата истек, обратитесь к администратору сайта по инструкциям.
Примечание.
Проверка подлинности сертификата клиента может быть включена, если она не требуется. Если требуется только протокол TLS/SSL, вам потребуется только сертификат сервера. При запуске веб-приложения, размещенного на сервере IIS 7.0, можно отключить проверку подлинности сертификата клиента с помощью разрешения ошибки HTTP 403.7.
Проверка допустимости сертификата на сервере, на котором запущены службы IIS
- Экспорт сертификата в объект . CER-файл.
- Скопируйте файл . CER-файл на сервер, на котором запущены службы IIS.
- Откройте файл . CER-файл на сервере под управлением IIS.
- Перейдите на вкладку "Путь сертификации". Если все сертификаты в цепочке отображаются без красного креста, то цепочка сертификатов является доверенной компьютером. Если корневой центр сертификации имеет красный крест против него, перейдите к следующему набору шагов.
Установка сертификата корневого центра сертификации вручную
Чтобы устранить эту проблему, установите сертификат корневого центра сертификации вручную. Выполните следующие действия:
- Нажмите кнопку "Пуск", выберите "Запустить", введите mmc и нажмите кнопку "ОК".
- В меню Файл выберите Добавить или удалить оснастку.
- В диалоговом окне "Добавление или удаление оснастки" выберите "Сертификаты" в разделе "Доступные оснастки" и нажмите кнопку "Добавить".
- В оснастке "Сертификаты" выберите учетную запись компьютера, дважды нажмите кнопку "Готово" и нажмите кнопку "ОК".
- В разделе "Корневой каталог консоли" разверните сертификаты (локальный компьютер).
- Разверните доверенные корневые центры сертификации и щелкните правой кнопкой мыши сертификаты.
- Выберите " Все задачи" и нажмите кнопку "Импорт...".
- Нажмите кнопку "Далее", а затем перейдите к расположению, где хранится файл сертификата корневого ЦС.
- После выбора сертификата нажмите кнопку "Далее " два раза и нажмите кнопку "Готово".
Примечание.
Промежуточные сертификаты ЦС должны быть установлены в хранилище промежуточных центров сертификации, а не в хранилище доверенных корней. Любой сертификат центра сертификации, значения которого Issued byIssued to не совпадают (и поэтому сертификат не находится в верхней части иерархии) называется промежуточным ЦС.