Предпосылки: у меня есть веб-сайт, на котором для определенного подкаталога настроено сопоставление сертификатов клиента в IIS6 для загрузки определенных файлов, защищенных конфиденциальностью. Есть два независимых клиента, которые используют загрузку, и все это было настроено и отлично работало несколько месяцев назад. Сертификат SSL сервера и сертификаты цифрового идентификатора клиента предоставляются Verisign.
Затем, конечно, истек срок действия одного из клиентских сертификатов. Я снова загрузил публичный сертификат от Verisign, как и в прошлый раз, установил новый (больше бит!) Промежуточный сертификат, и сертификат клиента отображается на сервере как «действительный». На стороне клиента (за океаном) также был установлен новый промежуточный сертификат, который отображается как действительный на стороне клиента. Что мы сделали, чтобы он работал раньше, верно? За исключением того, что новый сертификат клиента всегда выдавал ошибку 403.16: «Сертификат клиента неправильно сформирован или веб-сервер не доверяет ему».
Снова и снова просматривая сертификаты, я заметил, что в новом есть строка с надписью «OU = Digital ID Class 1 - Netscape Full Service», где истек срок действия старого сертификата от этого клиента и все еще работающего для другого. клиент прочитал «OU = Digital ID Class 1 - Microsoft Full Service». Итак, в чем разница? Будет ли использование цифрового идентификатора Netscape, который вы каким-то образом установили в IE (что, как я подозреваю, происходит), именно эту проблему? Клиент говорит, что они разговаривали с Verisign, и Verisign сказала, что они «такие же». Ага. Если они так похожи, то почему первый шаг при регистрации цифрового идентификатора Verisign - выбрать IE или Netscape?
Указатели на некоторую документацию по этому вопросу были бы признательны. Кажется, я не могу гуглить. Это потому, что большинство людей понимают, что установка сертификата Netscape в IE, вероятно, не сработает?
У меня есть собственный сертификат клиента, который не предоставляется Verisign, и я смог установить соответствующие промежуточные сертификаты и сделать работу для этого подкаталога / сопоставления в качестве теста, но я почти уверен, что если есть выбор между IE и Netscape типы сертификатов, эта конкретная организация, предоставляющая сертификат, выбрала бы IE. Я использовал IE6 для этого тестирования.
И в этом случае ответ - «это не имеет значения, потому что промежуточный сертификат установлен неправильно». Точно как в http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/bb089a80-c8ba-4004-9c0f-f10fb6b36416.mspx?mfr=true - «мастер сертификатов» не настолько умен, чтобы поставить промежуточный сертификат в нужное место без помощи рук. Даже если сертификат клиента отображается как действительный при открытии на сервере, и даже если SSLDiag показывает сопоставление сертификата клиента как ОК. Я обрезал некоторые просроченные промежуточные сертификаты из-за чего-то еще, что я читал об ограниченном пространстве заголовка для перечисления действительных сертификатов для переговоров, и подумал, что я видел новый промежуточный сертификат G3 в магазине в MMC, но его просто не было, пока я не щелкнул все поля, чтобы «показать физический магазин» в мастере.