wake-up-neo.net

IE sendet kein Client-Zertifikat in der gegenseitigen TLS-Authentifizierung

Ich versuche, eine gegenseitige TLS-Authentifizierung mit der API eines Drittanbieters einzurichten. Das Clientzertifikat ist ordnungsgemäß konfiguriert. Wenn ich versuche, auf die Endpunkt-URL über Chrome zuzugreifen, funktioniert es einwandfrei (Chrome fordert zur Bestätigung des Zertifikats in einem Meldungsfeld auf und wenn ich es tue, wird die Seite mit ihrem Inhalt angezeigt).

Dasselbe, wenn ich versuche, mit IE zu tun, funktioniert es nicht und zeigt diese Meldung an

Cannot securely connect to this page

This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner.

Your TLS security settings aren’t set to the defaults, which could also be causing this error.

Also habe ich die Details bei Wireshark protokolliert, und so sieht es aus  enter image description here Wenn ich mehr in Details eingraviert habe, kann ich sehen, dass das Client-Zertifikat nie in Schritt 9 gesendet wurde (TLSv1.2 379-Zertifikat, Client-Schlüsselaustausch, Cipher-Spezifikation ändern, Verschlüsselte Handshake-Nachricht).

Und in Schritt 10 ist dies der Fehler, den ich erhalte

 enter image description here

 enter image description here

Was kann der Grund für dieses Verhalten sein?

Update: Wenn ich versuche, über Code und überprüfte SChannel-Protokolle auf den Smae-Endpunkt zuzugreifen, kann eine solche Warnung angezeigt werden

The remote server has requested TLS client authentication, but no
suitable client certificate could be found. An anonymous connection
will be attempted. This TLS connection request may succeed or fail,
depending on the server's policy settings.
8
Athul

Da es so ist, wie es in Chrome funktioniert, aber nicht IE, kann ich sagen, dass das Problem IE spezifisch ist. Da Sie das Zertifikat bereits hinzugefügt haben, scheint es, als würde das Zertifikat automatisch ausgewählt, aber nicht gesendet. Sie erhalten außerdem eine Meldung mit dem Titel "Ihre TLS-Sicherheitseinstellungen sind nicht auf die Standardwerte gesetzt". Ich habe einige Informationen gefunden, die möglicherweise auf Ihr Szenario zutreffen hier . Grundsätzlich heißt es, dass IE TLS 1.2 nicht erfolgreich verwenden kann, wenn SSL 2.0 aktiviert ist. Kannst du diese Einstellung überprüfen?

Einstellungen Bild

Gehen Sie zu Internetoptionen -> Voraus. Suchen Sie nach "Use SSL 2.0". Ich sehe die Option nicht dauerhaft in meiner Ansicht, da ich spätere Versionen von Windows/IE verwende, wobei SSL 2.0 keine Option ist, aber Sie haben es vielleicht, abhängig von der Version, die Sie verwenden verwenden.

2
apocalysque

Ich hatte ein ähnliches Problem mit einem Zertifikat, das eine broken Certificate Revokation List (crl) hatte.

 enter image description here

Ich konnte dies mit Fiddler ausfindig machen, das eine Anfrage an die fehlgeschlagene CRL zeigte. Sie sollten dasselbe mit WireShark sehen. Bei der Verwendung von Fiddler zum Entschlüsseln des SSL-Datenverkehrs trat außerdem kein Problem auf, da Fiddler dann sein eigenes selbstsigniertes Zertifikat für die Kommunikation mit dem Browser verwendet.

Ich bin nicht sicher, ob dies in Ihrem Fall einen Unterschied machen wird, da das Client-Zertifikat das Problem sein könnte.

Für eine vorübergehende (unsichere!) Problemumgehung können Sie Clr-Prüfungen deaktivieren. Wenn das Problem dadurch gelöst wird, ist die Lizenz tatsächlich das Problem, und Sie müssen ein ordnungsgemäßes Zertifikat ohne eine fehlerhafte Lizenz anfordern.

 enter image description here

1