it-swarm.dev

IE TLS karşılıklı kimlik doğrulamasında Müşteri sertifikası göndermiyor

Üçüncü taraf API ile bir TLS karşılıklı kimlik doğrulama oluşturmaya çalışıyorum. İstemci sertifikası iyi yapılandırılmış ve Chrome üzerinden son nokta URL'sine erişmeye çalıştığımda iyi çalışıyor (Chrome, sertifikayı bir mesaj kutusunda onaylamamı istedi ve bunu yaptığımda sayfa içeriği ile birlikte görüntüleniyor).

IE ile yapmaya çalıştığımda aynı şey çalışmıyor ve bu mesajı göstermiyor

Cannot securely connect to this page

This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner.

Your TLS security settings aren’t set to the defaults, which could also be causing this error.

Bu yüzden detayları Wireshark'a kaydettim, ve göründüğü gibi  enter image description here Ayrıntılara daha fazla daldığımda, müşteri sertifikasının 9. adımda hiçbir zaman gönderilmediğini görebiliyorum (TLSv1.2 379 Sertifika, Müşteri Anahtar Değişimi, Şifreleme Özelliğini Değiştir, Şifreli El Sıkışma Mesajı).

Ve 10. Adımda bu alıyorum hatadır

 enter image description here

 enter image description here

Bu davranışın arkasındaki sebep ne olabilir?

Güncelleme: Smae bitiş noktasına kod üzerinden erişmeye çalıştığımda ve SChannel günlüklerini kontrol ettiğimde böyle bir uyarı görebiliyorum

The remote server has requested TLS client authentication, but no
suitable client certificate could be found. An anonymous connection
will be attempted. This TLS connection request may succeed or fail,
depending on the server's policy settings.
8
Athul

Kromda nasıl çalıştığını görünce görünmüyor ancak IE değil, sorunun IE belirli olduğunu söylemenin güvenli olduğunu düşünüyorum. Sertifikayı zaten eklediğiniz için, sertifikanın otomatik olarak seçildiği, ancak gönderilmediği anlaşılıyor. Ayrıca, hatanızdaki "TLS güvenlik ayarlarınız varsayılanlara ayarlanmadı" yazan bir ileti alıyorsunuz. Senaryonuza uygulanabilecek bazı bilgiler buldum here . Temel olarak, IE, SSL 2.0 etkinse, TLS 1.2’yi başarıyla kullanamadığını söylüyor. Bu ayarı kontrol edebilir misiniz?

ayarlar pic

İnternet seçeneklerine git -> önceden. "SSL 2.0 Kullan" ifadesini kullanın Benim perspektifimde seçeneği görmüyorum, çünkü SSL 2.0'ın bir seçenek olmadığı sonraki Windows/IE sürümlerini kullanıyorum; kullanıyorum.

2
apocalysque

Benzer bir sorunla, kırık sertifika iptal listesi (crl) olan bir sertifika ile karşılaştım.

 enter image description here

Bunu, başarısız CRL'ye bir istek gösteren Fiddler ile izleyebildim. WireShark ile aynı görmelisiniz. Ayrıca, SSL trafiğini şifresini çözmek için Fiddler'ı kullanırken, Fiddler tarayıcı ile iletişim kurmak için kendi imzalı sertifikasını kullandığından hiçbir sorun yaşanmadı.

Bunun sizin durumunuzda herhangi bir fark yaratacağından emin değilim, çünkü sorun olabilecek müşteri sertifikasıdır.

Geçici (güvensiz!) Bir çalışma için, clr kontrolleri devre dışı bırakabilirsiniz. Bu problemi çözerse, crl gerçekten problemdir ve bir şekilde hatalı crl olmadan uygun bir sertifika talep etmeniz gerekecektir.

 enter image description here

1