403.7 IIS 7.5 SSL 客户端证书身份验证问题

Question

我正在 IIS 7.5 下使用 2 路 SSL 与外部合作伙伴一起测试 Web 服务。我需要 SSL，需要客户端证书，并使用一对一映射对域帐户进行身份验证。我已经配置了所有内容，并且它在我们的网络上运行良好（我能够提供客户端证书，获得身份验证并从浏览器和测试工具调用服务）。 从我们的网络外部（在大多数情况下，见下文），我收到 403.7 错误。我已经检查了机器级证书存储并确保证书和 CA 是可信的。 这是奇怪的事情。我获得了 I 类证书，可以在家进行测试（并且像我们的预期合作伙伴一样获得了 403.7）。因此，我设置 Fiddler 来调试 SSL 并发送我的证书，由于某种原因，这有效。我设置了一个测试工具来通过完全相同的证书，并得到 403.7。我在浏览器 (IE 9) 中进行测试，没有收到客户端证书的提示，并得到 403.7。
任何帮助表示赞赏。 账单

Answer 1

上次我检查时，IIS 使用重新协商（默认情况下）来获取客户端证书：在服务器不请求客户端证书的情况下进行第一次握手，然后在服务器请求客户端证书的情况下进行另一次握手（这次加密）证书（通过 TLS CertificateRequest 消息）。这将阻止您看到来自 Wireshark 的任何内容，除非您将其配置使用服务器的私钥并解密流量 （请注意，这仅适用于某些密码套件）。

查看客户端证书协商的一种方法是将 IIS 配置为使用初始客户端证书协商，使用 netsh 和 clientcertnegotiation=true （这是关于初始协商）。至少 CertificateRequest 和证书将在握手期间以明文形式发送，因此您应该能够使用 Wireshark 看到这一点。
如果客户端没有向服务器发送证书作为对 CertificateRequest 的响应，您仍会看到来自客户端的空 Certificate 消息。

如果您不导出带有证书的私钥以供 Fiddler 或任何其他客户端使用，则它不可能使用该证书。它最多可能尝试发送证书，但握手将失败（因为 CertificateVerify 消息需要由客户端的私钥签名）。

我想您可能会遇到一个问题：

• 服务器不接受不提供证书（实际上是可选的），
• 提供无效证书会导致失败并导致此 403.7 状态代码（许多服务器和 SSL/TLS 堆栈会将其实现为致命错误，但 TLS 规范 并没有说 < code>unsupported_certificate、certificate_revoked、certificate_expired、certificate_unknown 应该是致命的，因此这由服务器自行决定）。

Answer 2

您是否使用同一台物理机来测试内网和外网连接？如果没有，您确定外网客户端可以访问私钥吗？

我之前没有配置过Fiddler客户端认证。它是否从标准证书存储中读取客户端证书和密钥？它直接从 PKCS12 读取吗？

另一件可能有用的事情是检查 WireShark 中的 TLS 握手。具体来说，请检查服务器的“证书请求”消息，因为此处的数据会提示客户端 (IE9) 应在提示中显示哪些客户端证书。比较内部和外部连接。