La pagina web abilitata per SSL non richiede il certificato client

Riepilogo : abbiamo due ambienti Windows Server + II6 diversi che sono abilitati SSL. Dove si comport il modo in cui vogliamo e l'altro non lo fa.

Configurazioni del server :

  • nginx non può distriggersre SSLv3
  • Posso utilizzare i certificati RSA e ECC in apache?
  • IIS 6 Elenco dei certificati disponibili
  • Come visualizzare tutti i certificati ssl in un bundle?
  • Come posso recuperare il certificato di server LDAP per i server di catalogo globale di Windows 2008 e 2003?
  • I file in un server di condivisione condivisi di Windows 2003 non rilasciano blocchi?
    • Windows Server 2003 SP2
    • IIS 6
    • Le pagine sono configurate per l'authentication client SSL.

    Dettagli : Abbiamo una VM di produzione configurata per ospitare un sito web di IIS 6 con alcune pagine che richiedono l'authentication client SSL per abilitare il CAC. Su questa produzione VM la pagina presenta il certificato server e quindi muore prima di richiedere il certificato client. Per testare la configuration del server abbiamo creato una pagina "Hello World" con la stessa configuration di queste pagine CAC e abbiamo visto gli stessi risultati. Abbiamo quindi preso questa pagina e posizionato su un VM di lavoro conosciuto con le stesse versioni di OS / IIS e configurato la pagina allo stesso modo. La pagina si comport correttamente richiedendo il certificato client e quindi caricando la pagina.

    I passaggi che abbiamo preso per risolvere questo problema :

    • Controlla l'integrità del path del certificato su entrambe le macchine
    • Diffuse le metabase di IIS tra le due VM per verificare le incongruenze
    • Creato e installato un nuovo certificato server sul VM interrotto
    • Ha modificato l'opzione "Richiedi certificati client" invece di "Accetta certificati client"
    • Registro IIS verificato per errori. Tutti gli accessi tornano a 200.

    Abbiamo trovato un'opzione che corregge il nostro problema, ma crea nuovi problemi. Esiste un'opzione per negoziare i certificati client per tutte le pagine che causano la visualizzazione del prompt del certificato, ma ciò causa each pagina a farlo, che sconfina lo scopo della session SSL.

    Anche importnte : questa VM rotta è stata registrata secondo le specifiche del gov't. Sospettiamo che questa possa essere la causa sottostante. Tuttavia, la possibilità di unSTIGging non è nel nostro controllo. Pertanto, dobbiamo lavorare con le nostre limitazioni attuali.

    One Solution collect form web for “La pagina web abilitata per SSL non richiede il certificato client”

    Dopo tre settimane con supporto Microsoft, ha trovato la soluzione. Modificare il seguente valore del Registro di sistema:

    HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ DisableRenegoOnServer è stato abilitato. Impostare il valore su 0 e il prompt restituirà.

    Di seguito è riportto l'articolo della Microsoft KB: http://support.microsoft.com/kb/977377

    I sintomi sono descritti nell'articolo del KB, tuttavia, l'object di questo articolo della KB non è questo problema:

    "Internet Information Services (IIS): in alcune configurazioni, l'IIS che utilizza l'authentication del client certificato, inclusi scenari di mapping dei certificati, verrà compromesso. L'authentication del certificato client di tutto il sito non verrà influenzata e continuerà a funzionare".

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.