Een aantal weken terug heb ik het al eens gehad over problemen met Certificaten. Deze problemen leken opgelost te zijn totdat ik de applicatie in acceptatie ging zetten en direct de foutmelding "The request failed with HTTP status 403: Forbidden. " te zien kreeg. Via google kreeg ik vele resultaten echter was er geen van toepassing op mijn situatie.  

Mijn ASP.NET pagina roept een externe Webservice aan welke via HTTPS gehost wordt.  Wanneer ik een certificaat mee wil sturen werkt dit correct in mijn development webserver echter gehost via IIS werkt dit in het geheel niet. Het gevolg is een van onderstaande foutmeldingen:

• The request failed with HTTP status 403: Forbidden.
• The request was aborted: Could not create SSL/TLS secure channel
• The underlying connection was closed: An unexpected error occurred on a send.

Het eerste waar je aan denkt is rechten. Dit bleek in mijn geval ook deels de oorzaak te zijn.  Om de rechten op het certificaat te controleren heb je de tool WinHttpCertCfg nodig.   Middels deze tool kan je per certificate store (Local_Machine of Current_User ) bekijken hoe de rechten voor een bepaald certificaat zijn ingesteld.

Current_User: "C:\Program Files\Windows Resource Kits\Tools\"winhttpcertcfg -l -c "CURRENT_USER\Root" -s "[naam van het certificaat]"
De volgende accounts dienen hier rechten op te hebben:

• Ingelogde gebruiker
• NT Authority\System

Local_Machine : "C:\Program Files\Windows Resource Kits\Tools\"winhttpcertcfg -l -c "LOCAL_MACHINE\Root" -s "[naam van het certificaat]"
De volgende accounts dienen hier rechten op te hebben:

• Ingelogde gebruiker
• NT Authority\System
• ASP.NET Account / network service account (Windows 2003)

In mijn geval had het ASP.NET account nog geen rechten. Het instellen van de rechten doe je ook met de WinhttpCertcfg tool. Gebruik  hiervoor onderstaande parameters:

"C:\Program Files\Windows Resource Kits\Tools"\winhttpcertcfg -g -c "LOCAL_MACHINE\ROOT" -S "[naam van het certificaat]" -A "ASP.NET"

Na het toevoegen van de rechten kreeg ik echter nog steeds dezelfde foutmelding. In mijn geval had de systeembeheerder het certificaat ook in de verkeerde certificaat repository geïnstalleerd. Met de winhttpcertcfg tool kom je hier niet achter. Deze kijkt namelijk niet naar de locatie waar het certificaat geïmporteerd is.  Middels certificaten.msc te vinden onder systeembeheer heb ik vervolgens het certificaat geïmporteerd in onderstaande nodes.

Tip: Er bestaat een mogelijkheid om deze certificaten te copy/pasten. Gebruik deze optie niet met certificaten waarin een private key is opgenomen, deze wordt namelijk niet mee gekopieerd en geeft dus weer andere problemen.

Vervolgens de rechten voor ASP.NET account weer ingesteld en toen werkte alles naar behoren. Uiteindelijk een simpele oplossing van een probleem dat me een goede dag gekost heeft. 

Resources:

• WinHttpCertCfg.exe, a Certificate Configuration Tool
• How to call a Web service by using a client certificate for authentication in an ASP.NET Web application
• Kerry D. Wong - Using X509 Certificate with Web Service in ASP.Net
• Working with Certificates