Резюме: У нас есть две разные среды Windows Server + II6, которые поддерживают SSL. Где один ведет себя так, как мы хотим, а другой - нет.
Конфигурации сервера:
подробности: У нас есть рабочая виртуальная машина, настроенная для размещения веб-сайта IIS 6 с несколькими страницами, требующими проверки подлинности клиента SSL для включения CAC. На этой производственной виртуальной машине страница представляет сертификат сервера и затем умирает перед запросом сертификата клиента. Чтобы протестировать конфигурацию сервера, мы создали страницу «Hello World» с той же конфигурацией, что и эти страницы CAC, и получили те же результаты. Затем мы взяли эту страницу и поместили ее на известную рабочую виртуальную машину с теми же версиями OS / IIS и настроили страницу таким же образом. Страница ведет себя правильно, запрашивая сертификат клиента и затем загружая страницу.
Шаги, которые мы предприняли для решения этой проблемы:
Мы нашли вариант, который устраняет нашу проблему, но создает новые проблемы. Существует опция согласования клиентских сертификатов для всех страниц, в результате чего появляется запрос сертификата, но это заставляет каждую страницу делать это, что противоречит цели сеанса SSL.
Также важно: Эта сломанная виртуальная машина была перебита в соответствии со спецификацией правительства. Мы подозреваем, что это может быть основной причиной. Однако возможность отключения STIG не находится в пределах нашего контроля. Следовательно, мы должны работать с нашими текущими ограничениями.
После трех недель поддержки Microsoft нашел решение. Измените следующий параметр реестра:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ DisableRenegoOnServer был включен. Установите значение 0, и запрос вернется.
Вот статья Microsoft KB: http://support.microsoft.com/kb/977377
Симптомы описаны в статье базы знаний, однако предметом этой статьи базы знаний не является:
«Информационные службы Интернета (IIS): в определенных конфигурациях будут затронуты IIS, использующие проверку подлинности клиента сертификата, в том числе сценарии сопоставления сертификатов. Проверка подлинности сертификата клиента на уровне сайта не будет затронута и будет продолжать работать».