Ich habe einen HTTPS-Server, der mTLS (Client-Zertifikatauthentifizierung) erfordert. Wenn ich versuche, mit Chrome (Version 75.0.3770.100 (Official Build) (64-Bit)) unter Windows 10 auf den Server zuzugreifen, werde ich aufgefordert, das Client-Zertifikat auszuwählen (was ich tue). Danach gibt Chrome die Meldung ERR_NOT_IMPLEMENTED zurück.
Weitere Informationen:
- Ich kann über IE11, Edge und Firefox mit derselben URL auf den Server zugreifen
- Vertrauen in die CA-Zertifikate des Servers wird hergestellt (die CA wird in den Speicher vertrauenswürdiger Stammzertifizierungsstellen importiert). Die Verbindung wird im Internet Explorer als sicher markiert.
- Erfasstes Chrome-Netzwerkprotokoll. Ich konnte die Probleme hier finden:
t=3200 [st=10] SSL_HANDSHAKE_MESSAGE_RECEIVED
--> bytes =
0E 00 00 00 .
--> type = 14
t=3200 [st=10] SSL_CLIENT_CERT_REQUESTED
t=3201 [st=11] SSL_HANDSHAKE_ERROR
--> error_lib = 16
--> error_reason = 228
--> file = "../../third_party/boringssl/src/ssl/ssl_cert.cc"
--> line = 242
--> net_error = -11 (ERR_NOT_IMPLEMENTED)
--> ssl_error = 1
t=3201 [st=11] -SSL_CONNECT
--> net_error = -11 (ERR_NOT_IMPLEMENTED)
t=3201 [st=11] SOCKET_CLOSED
Ich habe mir den Quellcode von ssl_cert.cc:242BoringSSL angesehen unterhttps://github.com/google/boringssl/blob/d6f9c359d219055a89c676cb8886421b145a08da/ssl/ssl_cert.cc#L242.
Der relevante Code scheint hier zu sein:
bool ssl_is_key_type_supported(int key_type) {
return key_type == EVP_PKEY_RSA || key_type == EVP_PKEY_EC ||
key_type == EVP_PKEY_ED25519;
}
Oder anders ausgedrückt: Wenn es sich um ein RSA-Zertifikat handelt, sollte die Funktion „true“ zurückgeben und nicht zu dem oben beschriebenen Fehler führen.
Irgendeine Idee, was hier nicht stimmt.
Danke.