IE не отправляет сертификат клиента в взаимной аутентификации TLS

Я пытаюсь установить взаимную аутентификацию TLS с сторонним API. Клиентский сертификат настроен нормально, и когда я пытаюсь получить доступ к url-адресу конечной точки через Chrome, он отлично работает (Chrome запрашивает подтверждение сертификата в окне сообщения, и когда я это делаю, страница отображается с ее содержимым).

то же самое, когда я пытаюсь сделать с IE он не работает и показывает этот

Cannot securely connect to this page

This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner.

Your TLS security settings aren’t set to the defaults, which could also be causing this error.

поэтому я зарегистрировал детали в Wireshark, и вот как это выглядит enter image description here Когда я углубился в детали, я вижу, что сертификат клиента никогда не был отправлен на шаге 9(TLSv1.Сертификат 2 379, Обмен Ключа Клиента, Спецификации Шифра Изменения, Зашифрованное Сообщение Рукопожатия).

и на шаге 10 это ошибка, которую я получаю

enter image description here

enter image description here

что может быть причиной такого поведения?

Update: когда я пытаюсь получить доступ к конечной точке smae через код и проверенные журналы SChannel я вижу такое предупреждение

The remote server has requested TLS client authentication, but no
suitable client certificate could be found. An anonymous connection
will be attempted. This TLS connection request may succeed or fail,
depending on the server's policy settings.

2 ответов


видя, как это работает в chrome, но не IE, я думаю, можно с уверенностью сказать, что проблема IE специфична. Поскольку вы уже добавили сертификат, похоже, что сертификат выбирается автоматически, но не отправляется. Вы также получаете сообщение о том, что" ваши параметры безопасности TLS не установлены по умолчанию " в вашей ошибке. Я нашел некоторую информацию, которая может применяться к вашему сценарию здесь. В основном он говорит, что IE не может успешно использовать TLS 1.2, если SSL 2.0 включено. Вы можете проверить эту настройку?

настройки pic

перейти к интернет-опции - > заранее. Ищите "использовать SSL 2.0" я не вижу опции в моем persumably, так как я использую более поздние версии windows/IE, где SSL 2.0 не является опцией, но у вас может быть это, в зависимости от того, какие версии вы используете.


У меня была аналогичная проблема с сертификатом, который имел сломанный список отзыва сертификатов (crl).

enter image description here

Я смог отследить это с помощью Саша, который показал запрос к отказавшему CRL. Вы должны увидеть то же самое с WireShark. Кроме того, при использовании Fiddler для расшифровки трафика SSL не было никаких проблем, так как Fiddler затем использует свой собственный самозаверяющий сертификат для связи с браузер.

Я не уверен, что это изменит в вашем случае, так как это клиентский сертификат, который может быть проблема.

для временного (небезопасно!) работа вокруг, вы можете отключить проверки clr. Если это решает проблему, то crl действительно проблема, и вам нужно будет как-то запросить правильный сертификат без неисправного crl.

enter image description here