4 votes

Cosimo De gregorio avatar

La page web avec SSL activé ne demande pas de certificat client

Demandé el 2 de Décembre, 2010
Quand la question a-t-elle été
4463 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Résumé : Nous avons deux environnements Windows Server + II6 différents qui sont compatibles avec le protocole SSL. L'un se comporte comme nous le souhaitons et l'autre non.

Configurations du serveur :

  • Windows Server 2003 SP2
  • IIS 6
  • Les pages sont configurées pour l'authentification du client SSL.

Détails : Nous avons une VM de production qui est configurée pour héberger un site Web IIS 6 avec quelques pages nécessitant une authentification client SSL pour activer le CAC. Sur cette VM de production, la page présente le certificat du serveur, puis meurt avant de demander le certificat du client. Afin de tester la configuration du serveur, nous avons créé une page "Hello World" avec la même configuration que ces pages CAC, et nous avons obtenu les mêmes résultats. Nous avons ensuite pris cette page et l'avons placée sur une machine virtuelle connue pour fonctionner avec les mêmes versions OS/IIS et avons configuré la page de la même manière. La page se comporte correctement en demandant le certificat du client puis en chargeant la page.

Mesures que nous avons prises pour résoudre ce problème :

  • Vérification de l'intégrité du chemin de certificat sur les deux machines.
  • Diffusion des métabases IIS entre les deux VM pour vérifier les incohérences.
  • Création et installation d'un nouveau certificat de serveur sur la VM cassée.
  • Modification de l'option "Exiger les certificats des clients" au lieu de "Accepter les certificats des clients".
  • J'ai vérifié le journal IIS pour les erreurs. Tous les accès reviennent à 200.

Nous avons trouvé une option qui résout notre problème, mais qui en crée de nouveaux. Il existe une option permettant de négocier les certificats clients pour toutes les pages, ce qui entraîne l'apparition de l'invite de certificat, mais toutes les pages doivent le faire, ce qui va à l'encontre de l'objectif de la session SSL.

Il est également important : Ce VM cassé a été STIGgé selon les spécifications du gouvernement. Nous pensons que cela peut être la cause sous-jacente. Cependant, nous ne pouvons pas contrôler la possibilité d'enlever le STIG. Par conséquent, nous devons travailler avec nos limites actuelles.

Demandé el 2 de Décembre, 2010 par Cosimo De gregorio

Réponse

Trop de publicités?

4voto

Cosimo De gregorio avatar
Cosimo De gregorio Points 287

Après trois semaines avec le support Microsoft, j'ai trouvé la solution. Modifiez la valeur de registre suivante :

HKEY_LOCAL_MACHINE \System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\DisableRenegoOnServer a été activé. Mettez la valeur à 0, et l'invite revient.

Voici l'article de Microsoft KB : http://support.microsoft.com/kb/977377

Les symptômes sont décrits dans l'article de la KB, cependant, le sujet de cet article de la KB n'est pas ce problème :

" Internet Information Services (IIS) : Dans certaines configurations, IIS utilisant l'authentification du client par certificat, y compris les scénarios de mappage de certificat, sera affecté. L'authentification par certificat client à l'échelle du site ne sera pas affectée et continuera à fonctionner."

Répondu el 16 de Décembre, 2010 par Cosimo De gregorio (287 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X