Por que o IE está mostrando o pop-up do certificado quando o modo de autenticação no IIS é anônimo?

Question

O navegador está solicitando um certificado porque o servidor enviou uma mensagem de solicitação de certificado durante o handshake TLS.

Normalmente, como parte disso, envia uma lista de Nomes Distintos de CAs cujos certificados aceitará para autenticação. Esta lista basicamente significa"envie-me um certificado de autenticação de cliente emitido por uma dessas CAs". Se não enviar uma lista, o cliente tem a liberdade de enviar qualquer certificado de autenticação de cliente que possua, que pode não ser confiável para o servidor. Isso simplesmente aumentaria a carga de trabalho/frustração do operador que teria que descobrir (adivinhe?) qual certificado selecionar.

Portanto, você está vendo três certificados porque possui apenas três certificados de autenticação de cliente instalados em seu navegador e a lista está vazia; ou você possui mais de três certificados de autenticação de cliente instalados em seu navegador e a lista enviada pelo servidor restringe sua seleção.

Os detalhes estão emRFC 5246 Seção 7.4.4.

A opção de solicitar um certificado do cliente está configurada no servidor, portanto, este pop-up é apresentado a você porque o servidor está configurado para solicitar um certificado do cliente.

Lembre-se de que isso acontece antes de qualquer tráfego HTTP fluir, portanto, defina coisas comoAutenticação anônimano IIS não afetará isso, pois está relacionado à forma como o usuário é autenticado por HTTP (nenhum, Kerberos, nome de usuário/senha etc.) após a configuração da sessão TLS.

A maioria dos servidores web pode ser configurada com configurações diferentes para esquemas diferentes (http vs https), portas diferentes (443, vs 8443), nomes DNS diferentes (www.exemplo.orgvs app.example.org) ou até mesmo diretórios virtuais diferentes (/ vs /myapp). É neste nível que se encontra a configuração para solicitar autenticação do cliente.

No IIS, a autenticação do cliente é configurada noConfigurações SSLpágina. Exigir SSLdefine se um HTTPS é usado (identidade e criptografia do servidor) e as três opções emCertificados de clientedefina se o navegador deverá enviar um certificado de autenticação de cliente ou não (você não pode ter o último sem o primeiro, pois a autenticação do cliente faz parte do TLS (ou SSL)). Há um diferenteConfigurações SSLpágina para cada site e para cada diretório virtual em um site. Se você não quiser que o servidor solicite certificados de cliente, defina comoIgnorarem todos eles.

Answer 1

O navegador está solicitando um certificado porque o servidor enviou uma mensagem de solicitação de certificado durante o handshake TLS.

Normalmente, como parte disso, envia uma lista de Nomes Distintos de CAs cujos certificados aceitará para autenticação. Esta lista basicamente significa"envie-me um certificado de autenticação de cliente emitido por uma dessas CAs". Se não enviar uma lista, o cliente tem a liberdade de enviar qualquer certificado de autenticação de cliente que possua, que pode não ser confiável para o servidor. Isso simplesmente aumentaria a carga de trabalho/frustração do operador que teria que descobrir (adivinhe?) qual certificado selecionar.

Portanto, você está vendo três certificados porque possui apenas três certificados de autenticação de cliente instalados em seu navegador e a lista está vazia; ou você possui mais de três certificados de autenticação de cliente instalados em seu navegador e a lista enviada pelo servidor restringe sua seleção.

Os detalhes estão emRFC 5246 Seção 7.4.4.

A opção de solicitar um certificado do cliente está configurada no servidor, portanto, este pop-up é apresentado a você porque o servidor está configurado para solicitar um certificado do cliente.

Lembre-se de que isso acontece antes de qualquer tráfego HTTP fluir, portanto, defina coisas comoAutenticação anônimano IIS não afetará isso, pois está relacionado à forma como o usuário é autenticado por HTTP (nenhum, Kerberos, nome de usuário/senha etc.) após a configuração da sessão TLS.

A maioria dos servidores web pode ser configurada com configurações diferentes para esquemas diferentes (http vs https), portas diferentes (443, vs 8443), nomes DNS diferentes (www.exemplo.orgvs app.example.org) ou até mesmo diretórios virtuais diferentes (/ vs /myapp). É neste nível que se encontra a configuração para solicitar autenticação do cliente.

No IIS, a autenticação do cliente é configurada noConfigurações SSLpágina. Exigir SSLdefine se um HTTPS é usado (identidade e criptografia do servidor) e as três opções emCertificados de clientedefina se o navegador deverá enviar um certificado de autenticação de cliente ou não (você não pode ter o último sem o primeiro, pois a autenticação do cliente faz parte do TLS (ou SSL)). Há um diferenteConfigurações SSLpágina para cada site e para cada diretório virtual em um site. Se você não quiser que o servidor solicite certificados de cliente, defina comoIgnorarem todos eles.

Por que o IE está mostrando o pop-up do certificado quando o modo de autenticação no IIS é anônimo?

Responder1

informação relacionada