У нас есть веб-сайт ColdFusion 11, требующий сертификатов клиентов, работающий на общедоступном Windows Server 2012R2 с IIS 8.5. Существует правило перезаписи URL-адреса для удаления значения, заданного в заголовке ответа для сервера. Это правило действует, когда представлен действительный сертификат клиента, но если на клиентском компьютере нет сертификата клиента или если запрос на получение сертификата клиента отменен, правило перезаписи игнорируется или пропускается, а в заголовке ответа указывается версия IIS. Журналы IIS показывают, что возвращается соответствующий ответ 403.7. Настройка правила перезаписи на уровне сервера или сайта приводит к точно такому же поведению.
У нас есть аналогичный сервер, на котором запущено приложение .NET, которое обрабатывает правило перезаписи независимо от действия, предпринятого в отношении запроса сертификата клиента. (Есть еще один сервер с .NET-приложением, которое не работает, как сайт ColdFusion.) Сравнение web.configs, настроек сайта IIS и даже applicationHost.config не дало никаких различий, которые могли бы объяснить эту разницу в поведении. (Это не значит, что ответа нет, просто я не определил его как таковой.)
Например, при использовании инструментов разработчика браузера на компьютере без сертификатов клиентов все попытки перехода на эти сайты приводят к ответу 403. В деталях заголовка ответа IE, Edge и Firefox отображают версию IIS для «плохих» серверов, но значение правила перезаписи для «хороших» серверов. Chrome сообщает "Не удалось загрузить данные ответа" для всех серверов.
Учитывая, что плохое поведение проявляется как на сайтах .NET, так и на сайтах ColdFusion, я подозреваю, что проблема заключается в системе Windows / IIS и возникает до того, как ColdFusion появится на картинке, но я не могу найти в Интернете достаточно информации, чтобы сосредоточить свое расследование. дальше. То, что я прочитал, указывает на то, что, поскольку ответ не Microsoft-HTTPAPI / 2.0, запрос проходит мимо http.sys. Это, а также тот факт, что код ответа - 403.7 (Запрещено: требуется сертификат клиента), говорит о том, что он действительно попадает в IIS, но почему не соблюдается правило перезаписи?
Может ли кто-нибудь указать мне на настройки конфигурации, которые могут быть ответственны за разницу в поведении между этими серверами, или на ресурс, который может помочь мне понять взаимосвязь между IIS и http.sys, которая может влиять на проблему? Неделю назад я нашел сообщение о сбое сервера, в котором, казалось, есть проблеск надежды, но после отключения на ночь я не смог воспроизвести поиск, чтобы вернуться к нему; грррр. Заранее спасибо.