Tengo un problema con IIS en Windows Server 2019 y TLS 1.2.
Reemplacé la CA ROOT y hay nuevos certificados raíz confiables instalados.
Ahora IIStengo algunos sitios require sslconfigurados como verdaderos.
Ahora hay dos escenarios usando Firefox:
Un GET en cualquier sitio que requiera TLS ydel cliente(Firefox)enviar certificado emitido por OLD ROOT CAy todavía es válido y http200está bien.
PERO
Sidel cliente(Firefox / Chrome, etc. es lo mismo) envíe el certificado emitido por NEW ROOT CA (válido también) recibo un 403.7 del servidor. (No veo esto en el navegador, simplemente vuelve a solicitar el certificado)
No sé por qué muestra 12 aquí. La respuesta es instantánea y EN EL CLIENTE no veo 403.7, ¿veo restablecer la conexión?
¿Cómo intentar depurar más?
y también lo más extraño:
Si hago lo mismo con el mismo certificado emitido por la nueva CA raíz, pero del cartero, recibo un 200/ok, ¿cómo puedo saber por qué?
y la segunda cosa más extraña:
Si alojo el mismo sitio que require sslen otro servidor Windows Server 2019, está bien con ambos certificados.
ASÍ QUE ES ESTE PROBLEMA DEL SERVIDOR CON NUEVOS CERTIFICADOS CA / EMISOR.
----editar------
una cosa más extraña:
Si hago lo mismo pero desde el servidor, a través de la IP del servidor o localhost, y envío el MISMO certificado nuevo, está bien.
Entonces, SOLO cuando pasamos desde el navegador de PC REMOTO hay este problema, así que estoy pensando en algunos problemas de netsh.
No tengo idea de qué más hay que comprobar.
y también
No hay una nueva CA raíz instalada en ambas máquinas ni en el cliente o el servidor, y es visible en mmc>certs la CA raíz confiable de la máquina en el intermedio también está bien, etc.
En IIS, solo está configurado el certificado SSL para el enlace https que coincide con la URL del punto final, emitido por la CA raíz nueva/antigua, no hay diferencia: se restablece la conexión desde el navegador y se acepta desde el cartero. Y también si importo este nuevo certificado de CLIENTE EN el servidor para poder verificar la cadena, la cadena de certificados está bien y es confiable.
En mi humilde opinión, si funciona desde localhost con el mismo certificado de cliente, entonces la configuración de IIS está 100% bien, entonces ¿debe ser algo más? tal vez algo con netsh? También se revisó y es el mismo que en la segunda máquina que funciona bien.
Por favor, indique qué más se debe verificar o dónde puede estar el problema.
Respuesta1
¿También reemplazó los certificados en los sitios con una nueva raíz ca? Al cambiar la CA raíz, toda la cadena de certificados cambia, por lo que los certificados en sí también deben reflejar eso.
Para realizar pruebas, emitiría un nuevo certificado desde la nueva CA raíz y lo importaría al enlace SSL de los sitios involucrados. También asegúrese de borrar el caché del navegador y reiniciar iis después de cambiar los certificados.
Otra opción más compleja sería exportar el certificado actual, abrirlo como un archivo de texto, decodificarlo y ver si la nueva CA raíz está allí.