IIS 7.5 - SSL falha após a reinicialização - Rebindir as correções do certificado até a reinicialização

2

Recentemente, meu site SSL do IIS 7.5 começou a recusar conexões após uma reinicialização. Estranhamente, o problema pode ser uma forma de contornar o site com um certificado diferente e a mudança para o correto.

Quando falhando, o wireshark mostra ao cliente enviar vários pacotes de hello SSL (TLS 1.0, 1.1, 1.2) e o servidor responde com um TCP RST. Ao trabalhar o cliente oi é virtualmente idêntico (mesmas cifras / compressão / SNI.) O mesmo comportamento é exibido para o IE e o Chrome (o conteúdo é um pouco diferente, mas o RST instantâneo é comum) Isso indica que é muito provável algo do lado do servidor.

Minha única dica é aleatória SChannel ID de evento 36870 "Ocorreu um erro fatal ao tentar acessar a chave privada de credencial do servidor SSL. O código de erro apresentado no módulo de criptografia é 0x8009030d. O estado de erro interno é 1001." Verificar minhas bibliotecas 0x8009030d é "SEC_E_UNKNOWN_CREDENTIALS" e 1001 é provável MSG_FILE_NOT_FOUND.

Com base nisso, verifiquei as permissões na pasta Crypto / RSA por kb278381 e as encontrei como esperado. Eu forcei a hereditariedade nas pastas subjacentes, mas nenhuma mudança no comportamento resultou.

Quaisquer pistas sobre onde procurar em seguida serão apreciadas!

    
por Joe Mroczek 17.11.2016 / 00:02

1 resposta

0

Eu teria imaginado que era algo redefinir as permissões na pasta que você mencionou, provavelmente a política de segurança por meio da Diretiva de Grupo. (Suspeite de qualquer coisa que esteja redefinindo as permissões de pasta).

Além disso, apenas um pensamento - a localização das chaves privadas mudou desde CryptoAPI tornou-se Crypto Next Generation, então você também pode querer verificar as pastas ProgramData para alterações de permissões.

Você pode obter permissões de chave privada de um cert diretamente através do MMC cert, portanto, se você gerenciar permissões de Chave Privada, a) verá os perms de chaves corretos com certeza *, eb) poderá obter uma dica sobre o que causou o problema.

* a milhagem real pode ser maior no espelho

    
por 21.11.2016 / 13:20