我正在与外部合作伙伴一起在 IIS 7.5 下使用 2 路 SSL 测试 Web 服务。我需要 SSL,需要客户端证书,并使用一对一映射对域帐户进行身份验证。我已经配置了所有东西,它在我们的网络上运行良好(我能够提供客户端证书、获得身份验证并从浏览器和测试工具调用服务)。
从我们的网络外部(在大多数情况下,见下文),我收到 403.7 错误。我已经浏览了机器级证书存储并确保证书和 CA 是可信的。
这是奇怪的事情。我获得了 I 类证书以在家进行测试(并且像我们的预期合作伙伴一样获得了 403.7)。所以我设置了 Fiddler 来调试 SSL 并发送我的证书,并且出于某种原因,这个 工作。我设置了一个测试工具来通过完全相同的证书,并获得了 403.7。我在我的浏览器 (IE 9) 中测试,没有提示输入客户端证书,并得到 403.7。
任何帮助表示赞赏。
比尔
【问题讨论】:
标签: ssl client certificate
上次我检查时,IIS 使用重新协商(默认情况下)来获取客户端证书:服务器不请求客户端证书的第一次握手,然后是另一个握手(这次加密),其中服务器请求证书(通过 TLS CertificateRequest 消息)。这将阻止您从 Wireshark 看到任何内容,除非您将其配置为 to use the server's private key and decipher the traffic(请注意,这只适用于某些密码套件)。
查看客户端证书协商的一种方法是将 IIS 配置为使用初始客户端证书协商,使用 netsh and clientcertnegotiation=true(这是关于初始协商)。至少CertificateRequest 和证书将在握手期间以明文形式发送,因此您应该能够使用 Wireshark 看到这一点。
如果客户端没有向服务器发送证书作为对CertificateRequest 的响应,您仍然会看到来自客户端的空Certificate 消息。
如果您不导出带有证书的私钥以用于 Fiddler 或任何其他客户端,则它不可能使用该证书。它最多可能会尝试发送证书,但握手会失败(因为CertificateVerify 消息需要由客户端的私钥签名)。
我猜你可能会遇到这样的问题:
unsupported_certificate、certificate_revoked、@ 987654331@、certificate_unknown 应该是致命的,所以这由服务器自行决定)。【讨论】:
您是否使用同一台物理机来测试网络内和外部网络连接?如果没有,您确定外部网络客户端可以访问私钥吗?
我之前没有配置过 Fiddler 客户端认证。它是否从标准证书存储中读取客户端证书和密钥?它是否直接从 PKCS12 读取?
另一件可能有用的事情是检查 WireShark 中的 TLS 握手。具体来说,查看服务器的“证书请求”消息,因为此处的数据会提示客户端 (IE9) 应在提示中显示哪些客户端证书。比较一下内部和外部连接。
【讨论】: