IE7 прекращает отправлять клиентский сертификат SSL
Вы на самом деле проверяете клиентские идентификационные данные с сертификатом SSL вместо того, чтобы просто использовать сертификат серверной стороны и SSL для шифрования коммуникации? Если так, это не особенно общий сценарий (хотя у Вас могут быть очень допустимые причины того, чтобы сделать так). Если у Вас нет бизнес-потребности для аутентификации клиентов с сертификатами, Вы могли бы все еще зашифровать связь при выключении стороны клиента основанная на сертификате аутентификация, которая решит проблему :)
Согласно документации Аутентификации IIS относительно MSDN:
IIS может также использовать SSL/TLS для аутентификации клиента, требуя, чтобы клиент предоставил сертификат. При запросе клиентского сертификата сервер предоставляет клиенту список АВАРИИ, которой доверяет сервер. Этот список получен на основании Доверительного списка сертификатов (CTL) сервера. Если клиент обладает сертификатом, выпущенным CA от CTL, он отправляет копию того сертификата серверу для проверки. Если сертификат действителен, IIS аутентифицирует пользователя, который отображается на предоставленный сертификат. По сути, необходимо ограничить CTL на IIS тем АВАРИЯ, Вы решаете быть действительно защищенными.
Вообще возможно, что у Вас есть генерация нескольких CA клиентские сертификаты, и по некоторым причинам один из них не находится на Доверительном списке сертификатов (CTL) Сервера?
-
1Да, клиентский сертификат отображается назад на определенном AD пользователе через IIS 6.0, и мы делаем это, чтобы не вынуждать пользователей войти в систему вручную (мы, также SSL шифрует канал передачи). Не распространенный, но обычно работает вполне хорошо и был прецедент, созданный нашей предыдущей системой MCMS. У нас только есть тот CA теперь и it' s на CTL, но у нас также был предыдущий, устаревший CA в списке. Удаленный дополнительный так it' ll быть интересным видеть, помогает ли это! Интересно, это спорадически для нужных пользователей. Клиентская машина была загружена от холода этим утром, и проблема ушла... – Michhes 25 June 2009 в 07:30
-
2Надо надеяться, это помогает! Из любопытства, там любая причина почему Вы wouldn' t используют Kerberos или NTLM для аутентификации пользователей? Все преимущества Единой точки входа ни с одной из стычек основанной на сертификате аутентификации клиента. – Sean Earp 25 June 2009 в 08:01
-
3Отправлю мои результаты после нескольких дней контроля. Пользователи основаны на Интернете так that' s основное обоснование для клиентских сертификатов; аутентификация формы в SharePoint, вероятно, была бы подходящей альтернативой также. Kerberos может использоваться через интернет-соединение? – Michhes 26 June 2009 в 02:57
-
4... и просто подтвердил, что проблема все еще происходит после изменения – Michhes 26 June 2009 в 02:59
У Вас есть больше чем один применимый сертификат в персональном хранилище клиента? Если существует больше чем один сертификат, IE не смог выбирать правильный сертификат, таким образом, он ничего не отправит. Сервер требует клиентского автора при рассмотрении сетевого сниффинга?
Когда проблема присутствует, можно ли перечислить клиентский сертификат с помощью certutil.exe? Можно использовать certutil-v - пользователь - хранит "мой" и проверяет на тест полномочий/шифрования передающие/другие вещи, которые могли бы посмотреть прочь. Если существует что-то, можно попытаться найти первопричину его.