В описываемой мной настройке у нас есть два сервера: Alpha и Bravo.
Alpha - это сервер, который существует уже много лет. Это сервер Windows 2008 под управлением IIS7. Чтобы войти в любое приложение на Alpha, пользователь представляет серверу сертификат смарт-карты.
Наша группа разработчиков хотела иметь «тестовый» сервер, с которым мы могли бы экспериментировать, и поэтому наша группа сетевой поддержки установила новый сервер, Bravo. Bravo должен был иметь ту же функциональность, что и Alpha, но группа разработчиков будет иметь широкий доступ для изменения и развертывания веб-приложений в целях тестирования.
Далее у нас есть два члена нашей группы разработчиков: Алиса и Боб. Алиса начинает работать с новым сервером Bravo, как только он будет настроен. У нее нет проблем с доступом к веб-приложениям на Bravo с помощью смарт-карты. Насколько она может судить, Браво - точный клон Alpha, но с другим именем и IP-адресом.
Алиса настраивает веб-приложение на Bravo и предлагает Бобу попробовать его. Боб никогда раньше не использовал Bravo, но был уверен, что он работает так же, как Alpha. Однако, когда Боб пытается получить доступ любой веб-приложение на Bravo, он видит следующее сообщение об ошибке:
HTTP Error 403.7 - Forbidden
The page you are attempting to access requires your browser to have a Secure Sockets Layer (SSL) client certificate that the Web server recognizes.
Алиса и Боб очень разочарованы, потому что их рабочие станции должны быть настроены точно так же, а Alpha и Bravo используют одни и те же сертификаты.
Группа поддержки сети проверяет, имеют ли Алиса и Боб одинаковые настройки в IE8 (потому что это то, что наша организация должна поддерживать). Группа поддержки сети также пытается использовать смарт-карту Алисы для входа в Bravo на рабочей станции Боба. Это не работает, что исключает смарт-карту Боба как источник проблемы.
Что могло быть причиной того, что Алиса и Боб оба могут войти в Alpha со своими смарт-картами, но только Алиса и войти в Bravo с ее?
Повторюсь, и Alpha, и Bravo должны использовать одни и те же сертификаты.