Die IIS-Client-Zertifikatautorisierung funktioniert lokal, aber nicht remote

Ich habe versucht, die Client-Zertifikatautorisierung auf einem IIS-Endpunkt einzurichten. Nach dem Tutorial unterhttps://joji.me/en-us/blog/wie-erstelle-man-eine-iis-website-die-ein-client-zertifikat-erfordert-mithilfe-selbstsignierter-zertifikate/ Ich habe ein Stammzertifikat und dann aus diesem Stammzertifikat ein Serverzertifikat und ein Client-Zertifikat erstellt.

Ich sehe, dass ich auf meinem Server (Windows 2012 R2, mit IIS 8.5) zum Endpunkt navigieren kann, wenn ich das Stammzertifikat im Trusted Root-Zertifikatspeicher und das Clientzertifikat im Personal Store für den aktuellen Benutzer installiere. Ich gebe die Adresse ein (https://localhost/foobar/endpointName), eine Liste mit Clientzertifikaten wird angezeigt, aus denen ich auswählen kann, und wenn ich das richtige auswähle, gelange ich zum Endpunkt.

Im Remote-Zugriff sieht die Sache anders aus. Wenn ich es von einem anderen Computer aus versuche, auf dem dasselbe Client-Zertifikat im persönlichen Speicher des Benutzers installiert ist, erhalte ich keine Liste mit Client-Zertifikaten zur Auswahl, sondern lediglich die Fehlermeldung 403 Unauthorized. In diesem Fall lautet die URLhttps://serverCertName.domain.com/foobar/endpointName, wobei serverCertName.domain.com den richtigen A-Eintrag hat. Ich habe dies auch im Internet Explorer versucht, wo Sie ein Zertifikat gezielt laden können, und habe das gleiche Ergebnis erhalten. In den IIS-Protokollen auf dem Server, den ich erreichen möchte, werden diese Versuche als 403.7 protokolliert.

Ich habe dies auch von Code auf einem Remote-Server aus mit HttpClient (C#) versucht und bekomme auch dort eine „Unauthorized“-Meldung. Ich habe eine ganze Weile auf meinen Bildschirm gestarrt und versucht, herauszufinden, was der Unterschied zwischen meinen lokalen und meinen Remote-Anfragen sein könnte, aber meine Internetsuchfähigkeiten lassen mich diesmal im Stich.