DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 294305 - Geändert am: Montag, 3. Dezember 2007 - Version: 4.4

 

Auf dieser Seite

Problembeschreibung

Wenn Sie zu einer Website, die Clientzertifikate erforderlich ist durchsuchen, erhalten Sie die folgenden HTTP-Fehlermeldung, selbst wenn Sie sicher, dass das Client-Zertifikat nicht gesperrt wurde:
403.13 Clientzertifikat widerrufen

Ursache

Standardmäßig prüft IIS-, wenn das Clientzertifikat, das angezeigt wird, wird gesperrt wurde. Dies geschieht durch downloaden das Clientzertifikat Zertifikatwiderrufsliste (CRL) aus eine Certificate Distribution Point (CDP), die als Teil der Clientzertifikat aufgeführt ist. Wenn IIS nicht mindestens eines der CRLs des Clientzertifikats herunterladen kann, wird der HTTP-Fehlermeldung im Browser des Clients angezeigt.

Lösung

Für jedes Zertifikat in der Kette, die einen CDP aufgeführt ist, sicher, dass IIS kann mindestens eine ZERTIFIKATSPERRLISTE gedownloadet ist. Dies in der Regel umfasst die Firewall, Proxy oder DNS-Server-Einstellungen zu den erforderlichen Datenverkehr zugeben anpassen; abhängig vom Protokoll, dies kann (HYPERTEXT Transfer Protocol) oder (remote Procedure Call). Beachten Sie, dass der Server die ZERTIFIKATSSPERRLISTE auflösen, selbst wenn der Browser des Clients die ZERTIFIKATSPERRLISTE auflösen kann, da der Server die HTTP-Anforderung bedient, die das Clientzertifikat erfordert sein muss.

Um eine HTTP 403.13 Fehlermeldung zu vermeiden, haben Sie die folgenden:
  • Aktivieren Sie IIS, die CRL herunterzuladen. Gehen Sie hierzu folgendermaßen vor:
    1. Löschen Sie alle doppelten Clientzertifikate (d. h., Clientzertifikate, die von derselben Zertifizierungsstelle ausgestellt werden) aus der Clientbrowser.
    2. Beginnen Sie mit dem Client-Zertifikat und fahren Sie den Zertifizierungspfad. Fügen Sie jedes Zertifikat CDP HTTP-Verweis in den Browser auf dem Server. Wenn die Datei herunterladen, besteht ein Problem mit CDP. Hinweis : Doppelklicken Sie auf jedes Zertifikat im Zertifizierungspfad, um seine Eigenschaften anzuzeigen.

    3. Verwenden Sie die Dienstprogramme PING "," Tracert.exe "oder" Wfetch.exe Wartezeitprobleme Namensauflösung oder einem Namen identifizieren, die auftreten, wenn Sie das Problem CDP wenden.
    4. Suchen Sie die IP-Adresse des Problems CDP und fügen Sie einen Eintrag in der HOSTS-Datei auf dem IIS-Computer hinzu. Dies sollte aktivieren Sie IIS zum Downloaden der ZERTIFIKATSSPERRLISTE und den Fehler beheben.
    5. Wiederholen Sie diese Schritte für jedes Zertifikat im Zertifizierungspfad das Clientzertifikat.
  • Wenn ein Proxyserver-Computer beteiligt ist, ändern Sie das Konto, das ein Domänenadministratorkonto IIS starten und neu starten der IIS-Verwaltungsdienst verwendet wird. Wenn dies behebt das Problem, das Konto Lokales System oder das Konto, das zum Starten von IIS regelmäßig verwendet wird, hat keine ausreichende Berechtigungen auf den Proxyserver für den Internetzugang.

Weitere Informationen

Gehen Sie folgendermaßen vor um ein Zertifikat-CDP anzuzeigen,
  1. Klicken Sie in Microsoft Internet Explorer im Menü Extras auf Optionen .
  2. Klicken Sie auf der Registerkarte Inhalt auf Zertifikate .
  3. Doppelklicken Sie auf der Registerkarte Persönliche Angaben auf das Client-Zertifikat.
  4. Klicken Sie auf die Registerkarte Zertifizierungspfad des Clientzertifikats um jedes Zertifikat im Pfad anzuzeigen.
  5. Doppelklicken Sie auf jeden dieser Zertifikate, und klicken Sie auf die Registerkarte Details . Das Feld Verteilungspunkt enthält Einträge, die den Pfad zum Downloaden der zugeordneten CRL-Datei. Hinweis : Wenn ein CDP nicht aufgeführt ist, fahren Sie mit der nächsten höhere Zertifikat in den Pfad.
Wenn eine CDP-Erweiterung in einem Zertifikat vorhanden, die Teil der Zertifizierungspfad ist ist, muss IIS mindestens eines der CRLs downloaden können. Wenn IIS nicht die ZERTIFIKATSSPERRLISTE auflösen kann, wird den Fehler HTTP 403.13 zurückgegeben.

Sperrlistenverteilungspunkt-Beispiel:
[1]CRL Distribution Point
     Distribution Point Name:
          Full Name:
               URL=http://server.domain.com/CertEnroll/server%20Root%20CA.crl<BR/><BR/>

[2]CRL Distribution Point
     Distribution Point Name:
          Full Name:
               URL=file://\\server2.domain.com\CertEnroll\server2%20Root%20CA.crl
				

Informationsquellen

Weitere Informationen zu Wfetch.exe finden Sie im folgenden Artikel der Microsoft Knowledge Base:
284285  (http://support.microsoft.com/kb/284285/ ) "Wfetch.exe" mithilfe von HTTP-Verbindungen zu Problembehandlung
Die Metabasiseigenschaft CertCheckMode IIS aktiviert oder deaktiviert (Certificate Revocation List, CRL) überprüfen. Wenn CertCheckMode auf einen Wert größer als 0 festgelegt ist, wird die ZERTIFIKATSSPERRLISTE nicht Zertifikate suchen, die gesperrt wurden. Wenn CertCheckMode gleich 0 ist, sucht die ZERTIFIKATSSPERRLISTE Zertifikate, die gesperrt wurden. Weitere Informationen finden Sie in das Thema "CertCheckMode" in der IIS-Onlinehilfe.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 7.0
Keywords: 
kbmt kbpending kbprb KB294305 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 294305  (http://support.microsoft.com/kb/294305/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store