IE n'est pas l'envoi d'un certificat Client dans TLS authentification mutuelle
Que j'essaie d'établir une connexion TLS authentification mutuelle avec le tiers de l'API. Certificat Client est configuré beaux et quand j'essaie d'accéder au point de fin de l'url par le biais de google Chrome cela fonctionne très bien(Chrome vous demande de confirmer le certificat dans une boîte de message et quand j'ai fait la page s'affiche avec son contenu).
Même chose quand j'essaie de le faire avec IE ça ne fonctionne pas et en montrant ce message
Cannot securely connect to this page
This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner.
Your TLS security settings aren’t set to the defaults, which could also be causing this error.
Donc j'ai connecté les détails de Wireshark, Et c'est à quoi il ressemble
Quand j'ai creusé plus dans les détails, je peux voir que le certificat du client n'a jamais été envoyée à l'étape 9(TLSv1.2 379 Certificat, Le Client Échange De Clé, Changement De Cipher Spec, Crypté Message De Handshake).
Et à l'Étape 10 c'est l'erreur que j'obtiens
Quelle peut être la raison derrière ce comportement?
Mise à jour: Lorsque j'essaie d'accéder à smae point de fin à l'aide de code et vérifié SChannel les journaux, je vois un avertissement comme celui
The remote server has requested TLS client authentication, but no
suitable client certificate could be found. An anonymous connection
will be attempted. This TLS connection request may succeed or fail,
depending on the server's policy settings.
J'ai configuré le certificat du client dans windows key store seulement, rien que sur chrome
Quel serveur que vous utilisez? Et quel est le type de point de fin est-il?
OriginalL'auteur Athul | 2018-02-19
Vous devez vous connecter pour publier un commentaire.
Voyant que la façon dont il fonctionne dans chrome, mais pas IE, je pense qu'il est sûr de dire que le problème est de IE. Puisque vous avez déjà ajouté le certificat, il semble que le certificat est automatiquement sélectionné, mais pas envoyé. Vous obtenez également un message qui dit "Votre TLS paramètres de sécurité ne sont pas définies par défaut" dans votre erreur. J'ai trouvé des informations qui pourraient s'appliquer à votre scénario ici. Fondamentalement, il dit que IE ne pouvez pas utiliser le protocole TLS 1.2 avec succès si le protocole SSL 2.0 est activée. Pouvez-vous vérifier ce paramètre?
les paramètres de pic
Allez à options internet -> l'avance. Recherchez "SSL 2.0" je ne vois pas l'option dans mon persumably depuis que je suis en utilisant les versions ultérieures de windows/IE où SSL 2.0 n'est pas une option, mais vous pourriez avoir, selon la version(s) que vous utilisez.
OriginalL'auteur apocalysque
J'ai souffert un problème similaire avec un certificat qui avait un cassé certificat revokation liste de certificats (crl).
J'ai été en mesure de suivre cela avec Fiddler, qui a montré une demande à l'échec d'une liste de révocation de certificats. Vous devriez voir la même chose avec WireShark. En outre, lors de l'utilisation d'un violon pour déchiffrer le trafic SSL, il n'y a pas de problème, étant donné que le Violoneux, puis utilise son propre certificat auto-signé pour communiquer avec le navigateur.
Je ne suis pas sûr que cela va faire toute la différence dans votre cas, puisque c'est le certificat du client qui pourrait être le problème.
Temporaire (dangereux!) contourner ce problème, vous pouvez désactiver clr contrôles. Si cela résout le problème, alors la liste de révocation de certificats est vraiment un problème et que vous devez en quelque sorte la demande d'un bon certificat, sans un défaut de la liste de révocation de certificats.
OriginalL'auteur Grimace of Despair