Dela via

HTTP-fel 403.16 när du försöker komma åt en webbplats som finns på IIS

  • Artikel

Den här artikeln hjälper dig att lösa felet "HTTP 403.16 – Förbjudet" som inträffar när du kommer åt en webbplats som finns på Internet Information Services (IIS).

Ursprunglig produktversion: Internet Information Services
Ursprungligt KB-nummer: 942061

Symptom

Du har en webbplats på IIS-webbservern som levereras med Windows Server 2016 eller senare. När du försöker komma åt webbplatsen via en webbläsare får du ett felmeddelande som liknar något av följande exempel:

  • Felmeddelande 1

    Serverfel i program "programnamn"
    HTTP-fel 403.16 – Förbjudet
    HRESULT: 0x800b0109
    Beskrivning av HRESULT
    Klientcertifikatet är antingen inte betrott eller ogiltigt.

  • Felmeddelande 2

    HTTP 403.16-klientcertifikatet är inte betrott eller ogiltigt. Smartkortsanvändare kan inte autentisera.403 Förbjudet

Orsak 1: Rotcertifikatet finns inte i certifikatarkivet betrodda rotcertifikatutfärdare

Det här problemet beror på att certifikatutfärdarnas rotcertifikat inte finns i certifikatarkivet betrodda rotcertifikatutfärdare på IIS-webbservern.

Kommentar

Certifikatutfärdarnas rotcertifikat används för att utfärda klientcertifikatet.

Lösning för orsak 1

  1. På IIS-webbservern väljer du Start, skriver mmc.exe i rutan Starta sökning , högerklickar på mmc.exe och väljer sedan Kör som administratör.

    Kommentar

    Ange lösenordet eller välja Fortsätt om du uppmanas att ange ett administratörslösenord eller en bekräftelse.

  2. Arkiv-menyn väljer du snapin-modulen Lägg till/Ta bort.

  3. Under Tillgängliga snapin-moduler väljer du Certifikat och sedan Lägg till.

  4. Välj Datorkonto och sedan Nästa.

  5. Välj Lokal dator, välj Slutför och välj sedan Stäng.

  6. Om du vill avsluta guiden väljer du OK.

  7. Expandera Certifikat>betrodda rotcertifikatutfärdare, högerklicka på Certifikat, peka Alla uppgifter och välj sedan Importera.

  8. I guiden Importera certifikat väljer du Nästa.

  9. I rutan Filnamn skriver du platsen för certifikatutfärdares rotcertifikat och väljer sedan Nästa.

  10. Välj Nästa>Slutför.

Orsak 2: Icke-självsignerade certifikat finns i certifikatarkivet betrodda rotcertifikatutfärdare

Det finns ett eller flera icke-självsignerade certifikat i certifikatarkivet betrodda rotcertifikatutfärdare. Ett icke-självsignerat certifikat är ett certifikat för vilket Issued To värdena och Issued By inte är en exakt matchning.

Lösning för orsak 2

Flytta alla icke-självsignerade certifikat från certifikatarkivet betrodda rotcertifikatutfärdare och till certifikatarkivet mellanliggande certifikatutfärdare.

Mer information

Om du vill identifiera alla icke-självsignerade certifikat i certifikatarkivet betrodda rotcertifikatutfärdare kör du följande PowerShell-kommando:

Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject} | Format-List * | Out-File "c:\computer_filtered.txt"