A página da Web ativada por SSL não solicita certificado de cliente

4

Resumo : Temos dois ambientes diferentes do Windows Server + II6 habilitados para SSL. Onde um se comporta da maneira que queremos e o outro não.

Configurações do servidor :

  • Windows Server 2003 SP2
  • IIS 6
  • As páginas são configuradas para autenticação de cliente SSL.

Detalhes : Temos uma VM de produção configurada para hospedar um site do IIS 6 com algumas páginas que exigem autenticação de cliente SSL para ativar o CAC. Nesta VM de produção, a página apresenta o certificado do servidor e, em seguida, morre antes de solicitar o certificado do cliente. Para testar a configuração do servidor, criamos uma página "Hello World" com a mesma configuração dessas páginas do CAC, e vimos os mesmos resultados. Em seguida, pegamos essa página e a colocamos em uma VM de trabalho conhecida com as mesmas versões do OS / IIS e configuramos a página da mesma maneira. A página se comporta corretamente solicitando o certificado do cliente e, em seguida, carregando a página.

Etapas que tomámos para resolver este problema :

  • Verificado a integridade do caminho do certificado nas duas máquinas
  • Diffed as metabases do IIS entre as duas VMs para verificar inconsistências
  • Criou e instalou um novo certificado de servidor na VM quebrada
  • Alterou a opção "Requer certificados de cliente" em vez de "Aceitar certificados de cliente"
  • Verifique o log do IIS em busca de erros. Todos os acessos estão voltando como 200.

Encontramos uma opção que corrige nosso problema, mas cria novos problemas. Há uma opção para negociar certificados de cliente para todas as páginas, o que faz com que o prompt de certificado apareça, mas isso faz com que cada página faça isso, o que anula o propósito da sessão SSL.

Também é importante : essa VM quebrada foi STIGged conforme a especificação do governo. Suspeitamos que isso possa ser a causa subjacente. No entanto, a possibilidade de desintegração não está sob nosso controle. Portanto, temos que trabalhar com nossas limitações atuais.

    
por Sai 02.12.2010 / 17:39

1 resposta

4

Após três semanas com o suporte da Microsoft, encontrei a solução. Modifique o seguinte valor do registro:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ DisableRenegoOnServer foi ativado. Defina o valor como 0 e o prompt retornará.

Veja o artigo da Base de conhecimento da Microsoft: link

Os sintomas são descritos no artigo da base de conhecimento, no entanto, o assunto deste artigo da base de conhecimento não é este problema:

"Serviços de Informações da Internet (IIS): em certas configurações, o IIS usando autenticação de cliente de certificado, incluindo cenários de mapeamento de certificado, será afetado. A autenticação de certificado de cliente em todo o site não será afetada e continuará funcionando."

    
por 16.12.2010 / 16:05