He estado intentando configurar la autorización de certificado de cliente en un punto final de IIS. Siguiendo el tutorial enhttps://joji.me/en-us/blog/how-to-create-an-iis-website-that-requires-client-certificate-using-self-signed-certificates/ Creé un certificado raíz y luego un certificado de servidor y un certificado de cliente a partir de ese certificado raíz.
Veo que en mi servidor (Windows 2012 R2, usando IIS 8.5), cuando instalo el certificado raíz en el almacén de certificados raíz confiable y el certificado de cliente en la tienda personal para el usuario actual, puedo navegar hasta el punto final. Escribo la dirección (https://localhost/foobar/endpointName), aparece una lista de certificados de cliente para elegir y, si selecciono el correcto, llego al punto final.
Es una historia diferente remotamente. Cuando lo intento desde una máquina diferente que tiene el mismo certificado de cliente instalado en la tienda personal del usuario, no obtengo una lista de certificados de cliente para elegir, simplemente aparece un error 403 no autorizado. En este caso la URL eshttps://serverCertName.domain.com/foobar/endpointName, donde serverCertName.domain.com tiene el registro A adecuado. También intenté esto en IE, donde puedes cargar un certificado específicamente y obtuve el mismo resultado. En los registros de IIS en el servidor al que intento acceder, estos intentos se registran como 403.7.
También probé esto desde el código en un servidor remoto usando HttpClient (C#) y también obtuve un No autorizado allí. He mirado mi pantalla durante un buen rato mientras intentaba descubrir cuál podría ser la diferencia entre mis solicitudes locales y mis solicitudes remotas, pero esta vez mis habilidades de búsqueda en Internet me están fallando.
Respuesta1
Bueno, finalmente me llegó la respuesta. No me di cuenta de que el punto final al que intentaba llegar estaba detrás de un equilibrador de carga, pero resulta que así era. Esa fue la fuente de mi problema.