本文可協助您解決當您開啟 網際網路資訊服務 (IIS) 網頁時,可能會擲回非預期的運行時錯誤的問題。
原始產品版本:網際網路資訊服務
原始 KB 編號: 186812
注意
本文的目標對像是網站管理員或 Web 開發人員。 如果您是遇到此錯誤的使用者,建議您要求網站管理員取得正確客戶端憑證的指示。
徵兆
您有裝載於 IIS 的網站。 當您在網頁瀏覽器中移至網站時,可能會收到類似下列的錯誤訊息:
HTTP 錯誤 403
403.7 禁止:需要客戶端憑證
原因
當網站要求客戶端憑證,然後用戶端未提供用戶端憑證或客戶端瀏覽器提供的憑證遭到拒絕時,就會發生此錯誤。 用戶端憑證是一種安全套接字層 (SSL) 憑證,通常用來識別網站的用戶或計算機。
以下是此問題的幾個可能原因:
- 執行 IIS 的電腦上不會安裝客戶端憑證的跟證書(證書頒發機構單位憑證)。
- 客戶端憑證已過期,或尚未達到有效時間。
- 用戶端憑證已撤銷。
- 沒有可用的有效客戶端憑證,或可能有效的客戶端憑證未安裝相關聯的私鑰。
解決方法
根據您的問題原因,請嘗試下列其中一個解決方案:
- 如果您沒有網站的客戶端憑證,而且您需要一個憑證,請連絡網站管理員以取得指示。
- 檢查憑證的到期日期和時間。 如果您的憑證已過期,請連絡網站管理員以取得指示。
注意
不需要客戶端憑證驗證時,可能會啟用用戶端憑證驗證。 如果您只想要要求傳輸層安全性 (TLS)/SSL 通訊,則只需要伺服器證書。 當您在執行 IIS 7.0 的伺服器上執行裝載的 Web 應用程式時,可以使用「HTTP 錯誤 403.7 - 禁止」錯誤中的解決方式停用客戶端憑證驗證。
檢查執行 IIS 的伺服器是否認為憑證有效
- 將憑證匯出至 。CER 檔案。
- 複製 。執行 IIS 之伺服器的 CER 檔案。
- 開啟 。執行 IIS 之伺服器上的 CER 檔案。
- 查看 [ 認證路徑] 索引標籤 。如果鏈結中的所有憑證都未顯示紅色十字,則計算機會信任憑證鏈結。 如果跟證書授權單位有反紅十字,請繼續進行下一組步驟。
手動安裝跟證書授權單位憑證
若要解決此問題,請手動安裝跟證書授權單位憑證。 請遵循下列步驟:
- 選取 [開始],選取 [執行],輸入 mmc,然後選取 [確定]。
- 在檔案功能表上,選取新增/移除嵌入式管理單元。
- 在 [新增或移除嵌入式管理單元] 對話框中,選取 [可用的嵌入式管理單元] 下的 [憑證],然後選取 [新增]。
- 在 [憑證] 嵌入式管理單元中,選取 [計算機帳戶],選取 [完成兩次],然後選取 [確定]。
- 在 [控制台根目錄] 底下,展開 [憑證] [本機計算機]。
- 展開 [受信任的跟證書授權單位],然後以滑鼠右鍵按兩下 [ 憑證]。
- 選取 [所有工作],然後選取 [ 匯入...]。
- 選取 [下一步],然後瀏覽至儲存根 CA 憑證檔案的位置。
- 選取憑證之後,請選取 [下 一步兩次],然後選取 [ 完成]。
注意
中繼 CA 憑證應該安裝在中繼證書頒發機構單位存放區中,而不是安裝在受信任的根存放區中。 任何證書頒發機構單位憑證的 Issued by 和 Issued to 值都不相同(因此憑證不在階層頂端),稱為中繼 CA。