ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED dans Google Chrome

J'ai un site web qui utilise le protocole SSL Client certificat d'autorisation.
Tous les certificats clients sont générées à l'aide d'OpenSSL et sont auto-signé. Tout fonctionne avec tous les navigateurs web, mais l'a Google Chrome, car il utilise le même protocole SSL entrepôt de IE, de sorte que l'installation du certificat a été assez facile (cliquez-cliquez-mot de passe-fait!).
Après la dernière mise à jour de Google Chrome 29.0.1547.57 m" personne ne peut accéder à mon serveur web, même de moi.
Google chrome erreur! IE et FF fonctionne bien.
L'erreur est: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED.
Même dans le journal des erreurs du serveur.
Avez-vous des suggestions?
Le problème est que la plupart des clients sont non familier avec les PC et ils ont eu très peur de cette situation. Donc, téléphone gars de soutien sont sous la vague d'appels.

source d'informationauteur Alexey

  1. 4

    Je suis en train de vivre la même chose ici avec Windows7 client systèmes incapables de s'authentifier avec les certificats client à l'encontre de certains de nos systèmes, mais pas d'autres. Les serveurs concernés sont en cours d'exécution d'Apache Tomcat, tandis que les innocents sont en cours d'exécution IIS7, bien que j'hésite à identifier la différence comme le coupable.

    Quiconque de voir cette?

    EDIT:

    Je suis en mesure de éliminer le problème en désactivant TLSv1.2 sur le serveur. Est ce que quelqu'un d'autre capable de reproduire cette expérience?

    Je serais aussi intéressé de savoir si quelqu'un d'autre est de voir ce sur quoi que ce soit, mais la plate-forme Windows, car c'est le seul endroit où ça se passe ici (même version OSX n'a pas de problèmes).

    EDIT2:

    Chrome Rapport de Bug ici: https://code.google.com/p/chromium/issues/detail?id=278370

    EDIT3:

    Devrait être de travailler à nouveau dans le dernier Chrome stable. Chrome 30 aura un plus robuste corriger, mais 29.x devrait également fonctionner maintenant.

  2. 6

    Nous connaissent le même problème. Comme Sean a rapporté, il semble que google Chrome sur Windows XP
    négocie TLSv1.2 même si le système d'exploitation ne prend pas en charge SHA-2 (dire, SHA-256 ou SHA-384)
    fonction de hachage.

    Nous avons constaté que google Chrome ne parvient pas quand elle reçoit de "demande de certificat client" à la suite de SERVEUR BONJOUR.
    SERVEUR BONJOUR se négocie RC4-SHA1 (dans notre environnement) qui réussit. La problématique
    paquet semble la "demande de certificat client" qui comprend SHA-2 (ainsi que SHA1) fonctions de hachages.

    Invoquant Chrome avec "--enable-journalisation --log-level=0" des sorties le message suivant:
    ERROR:nss_ssl_util.cc(193)] ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED: NSS erreur -12222, OS d'erreur -2146893816

    C'est une erreur de système d'Exploitation correspondant à la "NTE_BAD_ALGID" pour CryptSignHash fonction:
    http://msdn.microsoft.com/en-us/library/windows/desktop/aa380280(v=vs. 85).aspx

    Désactivation TLSv1.2 sur le serveur devrait résoudre le problème. Mais je pense que Chrome devrait préférer SHA1 sur Windows XP.

  3. 0

    C'est une combinaison de Win XP et Google Chrome 29.0.1547.57 m
    Sur Win 7/8 ce problème ne se produit pas.

    Vous pourriez installer ancienne version de travail 28.0.1500.95
    http://www.filehippo.com/download_google_chrome/15657/

    Mais les paramètres pour désactiver la mise à jour ne sont pas si faciles.
    http://dev.chromium.org/administrators/turning-off-auto-updates

  4. 0

    Le problème est causé par Chrome de course TLSv1.2 sur Windows XP.

    Cela peut être désactivé sur le serveur, mais également sur le côté client.

    Pour exécuter google Chrome avec une version inférieure de TLS, le lancer avec l'option de ligne de commande --ssl-version-max=tls1.1