Почему IE показывает всплывающее окно сертификата, когда режим аутентификации в IIS анонимный?
У меня есть веб-сайт, развернутый на сервере IIS. Установлен режим аутентификации анонимный: включен.
Когда я ввожу URL-адрес веб-сайта и нажимаю кнопку ввода, IE показывает мне всплывающее окно сертификата с просьбой выбрать сертификат. Почему это могло произойти?
Браузер запрашивает сертификат, так как сервер отправил сообщение запроса сертификата во время рукопожатия TLS.
Обычно в рамках этого он отправляет список отличительных имен ЦС, чьи сертификаты будут приниматься для аутентификации. Этот список в основном означает «отправьте мне сертификат проверки подлинности клиента, выданный одним из этих ЦС» . Если он не отправляет список, клиент может отправить любой имеющийся у него сертификат аутентификации клиента, которому сервер может не доверять. Это просто увеличило бы рабочую нагрузку/разочарование оператора, которому пришлось бы решать (догадываться?), какой сертификат выбрать.
Поэтому вы видите три сертификата либо потому, что в вашем браузере установлено только три клиентских сертификата аутентификации, а список пуст; или в вашем браузере установлено более трех клиентских сертификатов аутентификации, и список, отправленный сервером, ограничивает их выбор.
Подробности см. в RFC 5246, раздел 7.4.4.
Параметр запроса сертификата у клиента настроен на сервере, поэтому вы видите это всплывающее окно, поскольку сервер настроен на запрос сертификата клиента.
Помните, что это происходит до передачи любого HTTP-трафика, поэтому установка таких вещей, как Анонимная аутентификация в IIS, не повлияет на это, поскольку это связано с тем, как пользователь аутентифицируется через HTTP (нет, Kerberos, имя пользователя/пароль и т. д.) после настройки сеанса TLS.
Большинство веб-серверов можно настроить с разными настройками для разных схем (http и https), разных портов (443 и 8443), разных DNS-имен (www.example.org и app.example.org). ) или даже разные виртуальные каталоги (/ vs /myapp). Именно на этом уровне находится параметр запроса аутентификации клиента.
Аутентификация клиента IIS настраивается на странице Настройки SSL.Требовать SSL определяет, будет ли использоваться HTTPS (идентификация сервера и шифрование), а три параметра в разделе Клиентские сертификаты определяют, будет ли браузер отправлять сертификат аутентификации клиента или нет (вы не может иметь последнее без первого, поскольку аутентификация клиента является частью TLS (или SSL)). Существует отдельная страница Настройки SSL для каждого сайта и для каждого виртуального каталога на сайте. Если вы не хотите, чтобы сервер запрашивал клиентские сертификаты, установите для всех них значение Игнорировать.