¿Por qué IE muestra una ventana emergente de certificado cuando el modo de autenticación en IIS es anónimo?

Question

El navegador solicita un certificado porque el servidor envió un mensaje de solicitud de certificado durante el protocolo de enlace TLS.

Normalmente, como parte de esto, envía una lista de los nombres distinguidos de las CA cuyos certificados aceptará para la autenticación. Esta lista básicamente significa"envíeme un certificado de autenticación de cliente emitido por una de estas CA". Si no envía una lista, el cliente tiene la libertad de enviar cualquier certificado de autenticación de cliente que tenga, en el que es posible que el servidor no confíe. Eso simplemente aumentaría la carga de trabajo/frustración del operador que tendría que averiguar (¿adivina?) qué certificado seleccionar.

Por lo tanto, está viendo tres certificados porque solo tiene tres certificados de autenticación de cliente instalados en su navegador y la lista está vacía; o tienes más de tres certificados de autenticación de clientes instalados en tu navegador y la lista enviada por el servidor restringe su selección.

Los detalles están enRFC 5246 Sección 7.4.4.

La opción para solicitar un certificado del cliente está configurada en el servidor, por lo tanto, se le presenta esta ventana emergente porque el servidor está configurado para solicitar un certificado de cliente.

Recuerde que esto sucede antes de que fluya el tráfico HTTP, por lo que configurar cosas comoAutenticación anónimaen IIS no afectará esto ya que se relaciona con cómo se autentica el usuario a través de HTTP (ninguno, Kerberos, nombre de usuario/contraseña, etc.) después de que se haya configurado la sesión TLS.

La mayoría de los servidores web se pueden configurar con diferentes configuraciones para diferentes esquemas (http vs https), diferentes puertos (443, vs 8443), diferentes nombres DNS (www.ejemplo.orgvs app.example.org) o incluso diferentes directorios virtuales (/ vs /myapp). Es en este nivel donde se encuentra la configuración para solicitar la autenticación del cliente.

En IIS la autenticación del cliente se configura en elConfiguración SSLpágina. Requerir SSLestablece si se utiliza HTTPS (identidad del servidor y cifrado) y las tres opciones enCertificados de clientedefina si se espera que el navegador envíe un certificado de autenticación de cliente o no (no puede tener este último sin el primero ya que la autenticación de cliente es parte de TLS (o SSL)). Hay una diferenteConfiguración SSLpágina para cada sitio y para cada directorio virtual bajo un sitio. Si no desea que el servidor solicite certificados de cliente, configúrelo enIgnoraren todos ellos.

Answer 1

El navegador solicita un certificado porque el servidor envió un mensaje de solicitud de certificado durante el protocolo de enlace TLS.

Normalmente, como parte de esto, envía una lista de los nombres distinguidos de las CA cuyos certificados aceptará para la autenticación. Esta lista básicamente significa"envíeme un certificado de autenticación de cliente emitido por una de estas CA". Si no envía una lista, el cliente tiene la libertad de enviar cualquier certificado de autenticación de cliente que tenga, en el que es posible que el servidor no confíe. Eso simplemente aumentaría la carga de trabajo/frustración del operador que tendría que averiguar (¿adivina?) qué certificado seleccionar.

Por lo tanto, está viendo tres certificados porque solo tiene tres certificados de autenticación de cliente instalados en su navegador y la lista está vacía; o tienes más de tres certificados de autenticación de clientes instalados en tu navegador y la lista enviada por el servidor restringe su selección.

Los detalles están enRFC 5246 Sección 7.4.4.

La opción para solicitar un certificado del cliente está configurada en el servidor, por lo tanto, se le presenta esta ventana emergente porque el servidor está configurado para solicitar un certificado de cliente.

Recuerde que esto sucede antes de que fluya el tráfico HTTP, por lo que configurar cosas comoAutenticación anónimaen IIS no afectará esto ya que se relaciona con cómo se autentica el usuario a través de HTTP (ninguno, Kerberos, nombre de usuario/contraseña, etc.) después de que se haya configurado la sesión TLS.

La mayoría de los servidores web se pueden configurar con diferentes configuraciones para diferentes esquemas (http vs https), diferentes puertos (443, vs 8443), diferentes nombres DNS (www.ejemplo.orgvs app.example.org) o incluso diferentes directorios virtuales (/ vs /myapp). Es en este nivel donde se encuentra la configuración para solicitar la autenticación del cliente.

En IIS la autenticación del cliente se configura en elConfiguración SSLpágina. Requerir SSLestablece si se utiliza HTTPS (identidad del servidor y cifrado) y las tres opciones enCertificados de clientedefina si se espera que el navegador envíe un certificado de autenticación de cliente o no (no puede tener este último sin el primero ya que la autenticación de cliente es parte de TLS (o SSL)). Hay una diferenteConfiguración SSLpágina para cada sitio y para cada directorio virtual bajo un sitio. Si no desea que el servidor solicite certificados de cliente, configúrelo enIgnoraren todos ellos.

¿Por qué IE muestra una ventana emergente de certificado cuando el modo de autenticación en IIS es anónimo?

Respuesta1

información relacionada