本文可帮助你解决打开 Internet Information Services (IIS) 网页时可能会引发意外运行时错误的问题。
原始产品版本: Internet Information Services
原始 KB 数: 186812
备注
本文的目标受众是网站管理员或 Web 开发人员。 如果你是遇到此错误的最终用户,建议要求站点管理员获取有关如何获取正确客户端证书的说明。
现象
你有一个在 IIS 上托管的网站。 在 Web 浏览器中转到网站时,可能会收到类似于以下错误消息:
HTTP 错误 403
403.7 禁止访问:需要客户端证书
原因
当网站请求客户端证书,然后客户端未提供客户端证书或客户端浏览器提供的证书被拒绝时,将发生此错误。 客户端证书是一种安全套接字层 (SSL) 证书,通常用于标识用户或计算机到网站。
以下是此问题的几个可能原因:
- 客户端证书的根证书(证书颁发机构证书)未安装在运行 IIS 的计算机上。
- 客户端证书已过期,或者尚未达到有效时间。
- 客户端证书已吊销。
- 没有有效的客户端证书可用,或者可能有效的客户端证书未安装关联的私钥。
解决方法
根据问题的原因,请尝试以下解决方法之一:
- 如果没有站点的客户端证书,并且需要一个证书,请联系站点管理员以获取说明。
- 检查证书的到期日期和时间。 如果证书已过期,请联系站点管理员获取说明。
备注
在不需要客户端证书身份验证的情况下,可以启用客户端证书身份验证。 如果只想要求传输层安全性(TLS)/SSL 通信,则只需要服务器证书。 运行在运行 IIS 7.0 的服务器上托管的 Web 应用程序时,可以使用“HTTP 错误 403.7 - 禁止”错误中的解决方法禁用客户端证书身份验证。
检查运行 IIS 的服务器是否认为证书有效
- 将证书导出到 .CER 文件。
- 复制 .CER 文件到运行 IIS 的服务器。
- 打开 .运行 IIS 的服务器上的 CER 文件。
- 查看 “认证路径 ”选项卡。如果链中的所有证书都显示为没有红十字,则证书链由计算机信任。 如果根证书颁发机构对其具有红十字,请继续执行下一组步骤。
手动安装根证书颁发机构证书
若要解决此问题,请手动安装根证书颁发机构证书。 按照以下步骤操作:
- 依次选择“开始”、“运行”、“键入 mmc”,然后选择“确定”。
- 在“文件”菜单中,选择“添加/删除管理单元”。
- 在“添加或删除管理单元”对话框中,选择“可用管理单元”下的“证书”,然后选择“添加”。
- 在 “证书”管理单元中,选择“ 计算机帐户”,选择“ 完成 两次”,然后选择“ 确定”。
- 在控制台根下,展开“证书”(本地计算机)。
- 展开 “受信任的根证书颁发机构”,然后右键单击“ 证书”。
- 选择 “所有任务”,然后选择“ 导入...”。
- 选择“下一步”,然后导航到存储根 CA 证书文件的位置。
- 选择证书后,选择“ 下 两次”,然后选择“ 完成”。
备注
中间 CA 证书应安装在中间证书颁发机构存储中,而不是安装在受信任的根存储中。 任何证书颁发机构证书及其Issued byIssued to值都不相同(因此证书不在层次结构的顶部)称为中间 CA。