1 votes

Michhes avatar

IE7 cesse d'envoyer le certificat SSL du client

Demandé el 24 de Juin, 2009
Quand la question a-t-elle été
1353 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous utilisons des certificats SSL clients pour sécuriser les communications des utilisateurs sur le web avec notre serveur web (le site d'édition d'un site SharePoint). Les certificats sont générés en interne et envoyés aux utilisateurs pour être installés.

Normalement, nous n'avons pas de problèmes, mais dernièrement, certains utilisateurs n'ont pas pu accéder aux sites alors que d'autres ont pu s'authentifier avec succès pendant la même période et même en utilisant le même certificat.

Une capture de paquets réseau suggère qu'IE n'envoie pas toujours le certificat. À ce stade, la désinstallation et la réinstallation du certificat corrigent le problème, mais ne sont pas souhaitables.

Demandé el 24 de Juin, 2009 par Michhes

0 votes

Avatar de Arjan

Et après avoir réinstallé une fois, cette machine cliente ne vous pose plus aucun problème ? Ou bien ce même poste client pourrait-il cesser d'envoyer le certificat à un moment ultérieur ? (Notez également que les utilisateurs domestiques seront forcés par Windows Update d'installer IE8, au moment même où nous parlons).

Commenté el 5 de Août, 2009 par Arjan

0 votes

Avatar de Michhes

@Arjan - La désinstallation/réinstallation fonctionne au début mais finit par s'arrêter à nouveau après une période de temps inconnue. @Nasko - Il ne devrait y avoir qu'un seul certificat installé mais je vais poster nos conclusions.

Commenté el 21 de Août, 2009 par Michhes

Réponses

Trop de publicités?

1voto

David Crow avatar
David Crow Points 7704

Est-ce que vous validez réellement l'identité du client avec le certificat SSL plutôt que d'utiliser simplement un certificat côté serveur et SSL pour crypter la communication ? Si c'est le cas, ce n'est pas un scénario particulièrement courant (bien que vous puissiez avoir des raisons très valables de le faire). Si vous n'avez pas besoin d'authentifier les clients avec des certificats, vous pouvez toujours crypter les communications tout en désactivant l'authentification par certificat côté client, ce qui résoudrait votre problème :)

Selon le Authentification IIS sur MSDN :

IIS peut également utiliser SSL/TLS pour authentifier le client en lui demandant en demandant au client de fournir un certificat. Lors de la demande d'un certificat client, le serveur fournit au client une liste des autorités de certification auxquelles le serveur fait confiance. Cette liste est dérivée de la Certificate Trust List (CTL) du serveur. Si le client possède un certificat émis par une par une autorité de certification de la liste CTL, il envoie une copie copie de ce certificat au serveur pour vérification. Si le certificat est valide, IIS authentifie l'utilisateur qui correspond au certificat fourni. Comme Ainsi, vous devez limiter la CTL de IIS aux AC que vous considérez comme étant réellement dignes de confiance.

Est-il possible que plusieurs autorités de certification génèrent les certificats des clients et que, pour une raison quelconque, l'une d'entre elles ne figure pas dans la liste de confiance des certificats (CTL) du serveur ?

Répondu el 24 de Juin, 2009 par David Crow (7704 Points )

0 votes

Avatar de Michhes

Oui, le certificat client est associé à un utilisateur AD spécifique via IIS 6.0 et nous faisons cela pour éviter de forcer les utilisateurs à se connecter manuellement (nous cryptons également le canal de communication par SSL). Ce n'est pas courant mais cela fonctionne généralement très bien et il y avait un précédent établi par notre système MCMS précédent. Nous n'avons plus qu'une seule autorité de certification et elle figure sur la liste des autorités de certification, mais nous avions aussi une autorité de certification antérieure, obsolète, sur la liste. Nous avons supprimé le CA supplémentaire et il sera intéressant de voir si cela aide ! Il est intéressant de noter que le problème est sporadique pour les utilisateurs affectés. La machine cliente a été démarrée à froid ce matin et le problème a disparu...

Commenté el 25 de Juin, 2009 par Michhes

0 votes

Avatar de David Crow

J'espère que ça aidera ! Par curiosité, y a-t-il une raison pour laquelle vous n'utiliseriez pas Kerberos ou NTLM pour authentifier les utilisateurs ? Tous les avantages de l'authentification unique sans les inconvénients de l'authentification du client par certificat.

Commenté el 25 de Juin, 2009 par David Crow

0 votes

Avatar de Michhes

Je posterai mes conclusions après quelques jours de surveillance. Les utilisateurs sont basés sur Internet, c'est donc la raison principale des certificats clients ; l'authentification par formulaire dans SharePoint aurait probablement été une alternative appropriée également. Kerberos peut-il être utilisé à travers une connexion Internet ?

Commenté el 26 de Juin, 2009 par Michhes
Afficher 1 autres commentaires

1voto

Grant Johnson avatar
Grant Johnson Points 968

Y a-t-il plus d'un certificat applicable dans le magasin personnel du client ? S'il y a plus d'un certificat, il se peut qu'IE ne soit pas en mesure de choisir le bon certificat et qu'il n'envoie rien. Le serveur exige-t-il l'authentification du client lorsqu'il regarde le renifleur de réseau ?

Lorsque le problème est présent, pouvez-vous lister le certificat du client en utilisant certutil.exe ? Vous pouvez utiliser certutil -v -user -store "my" et vérifier les permissions/le passage du test de cryptage/autres choses qui pourraient sembler anormales. S'il y a quelque chose, vous pouvez essayer d'en trouver la cause profonde.

Répondu el 20 de Août, 2009 par Grant Johnson (968 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X