IIS 서버에 웹사이트를 배포했습니다. 인증 모드는 익명: 활성화로 설정됩니다.
웹 사이트 URL을 입력하고 Enter 버튼을 누르면 IE에서 인증서를 선택하라는 인증서 팝업을 표시합니다. 왜 이런 일이 일어날 수 있습니까?
답변1
TLS 핸드셰이크 중에 서버가 인증서 요청 메시지를 보냈기 때문에 브라우저에 인증서를 요구하는 메시지가 표시됩니다.
일반적으로 이 과정의 일부로 인증을 위해 인증서를 수락할 CA의 고유 이름 목록을 보냅니다. 이 목록은 기본적으로 다음을 의미합니다."이 CA 중 하나에서 발급한 클라이언트 인증 인증서를 보내주세요.". 목록을 보내지 않으면 클라이언트는 서버가 신뢰하지 않는 클라이언트 인증 인증서를 자유롭게 보낼 수 있습니다. 이는 어떤 인증서를 선택할지 결정해야 하는(추측?) 운영자의 작업량/불만을 증가시킬 뿐입니다.
따라서 브라우저에 세 개의 클라이언트 인증 인증서만 설치되어 있고 목록이 비어 있기 때문에 세 개의 인증서가 표시됩니다. 또는 브라우저에 3개 이상의 클라이언트 인증 인증서가 설치되어 있고 서버에서 보낸 목록이 해당 인증서의 선택을 제한합니다.
자세한 내용은 다음과 같습니다.RFC 5246 섹션 7.4.4.
클라이언트에게 인증서를 요청하는 옵션이 서버에 구성되어 있으므로 서버가 클라이언트 인증서를 요청하도록 구성되어 있으므로 이 팝업이 표시됩니다.
이는 HTTP 트래픽이 흐르기 전에 발생하므로 다음과 같이 설정하십시오.익명 인증TLS 세션이 설정된 후 HTTP(없음, Kerberos, 사용자 이름/비밀번호 등)를 통해 사용자가 인증되는 방식과 관련되어 있으므로 IIS에서는 이에 영향을 미치지 않습니다.
대부분의 웹서버는 다양한 구성표(http 대 https), 다양한 포트(443, 대 8443), 다양한 DNS 이름(www.example.orgvs app.example.org) 또는 다른 가상 디렉터리(/ vs /myapp). 클라이언트 인증을 요청하는 설정이 있는 곳이 바로 이 수준입니다.
IIS 클라이언트 인증은 다음에서 구성됩니다.SSL 설정페이지. SSL 필요HTTPS 사용 여부(서버 ID 및 암호화)와 아래의 세 가지 옵션을 설정합니다.클라이언트 인증서브라우저가 클라이언트 인증 인증서를 보낼지 여부를 정의합니다(클라이언트 인증은 TLS(또는 SSL)의 일부이므로 전자가 없으면 후자를 가질 수 없습니다). 다른 것이 있습니다SSL 설정각 사이트 및 사이트 아래의 각 가상 디렉터리에 대한 페이지입니다. 서버가 클라이언트 인증서를 요청하지 않도록 하려면 이를 다음으로 설정하십시오.무시하다그들 모두에서.