Tenho tentado configurar a autorização de certificado de cliente em um endpoint IIS. Seguindo o tutorial emhttps://joji.me/en-us/blog/how-to-create-an-iis-website-that-requires-client-certificate-using-self-signed-certificates/ Criei um certificado raiz e, em seguida, um certificado de servidor e um certificado de cliente desse certificado raiz.
Vejo que no meu servidor (Windows 2012 R2, usando IIS 8.5), quando instalo o certificado raiz no armazenamento de certificados raiz confiável e o certificado do cliente no armazenamento pessoal para o usuário atual, posso navegar até o ponto final. Eu digito o endereço (https://localhost/foobar/endpointName), uma lista de certificados de cliente aparece para eu escolher e se eu selecionar o correto chego ao endpoint.
É uma história diferente remotamente. Quando tento em uma máquina diferente que tenha o mesmo certificado de cliente instalado no armazenamento pessoal do usuário, não recebo uma lista de certificados de cliente para escolher, simplesmente recebo um erro 403 Não autorizado. Neste caso o URL éhttps://serverCertName.domain.com/foobar/endpointName, onde serverCertName.domain.com possui o registro A adequado. Também tentei fazer isso no IE, onde você pode carregar um certificado especificamente e obter o mesmo resultado. Nos logs do IIS no servidor que estou tentando acessar, essas tentativas são registradas como 403.7.
Também tentei isso a partir do código em um servidor remoto usando HttpClient (C#) e obtive um Unauthorized lá também. Fiquei olhando para a tela por um bom tempo enquanto tentava descobrir qual poderia ser a diferença entre minhas solicitações locais e as remotas, mas minhas habilidades de pesquisa na Internet estão falhando desta vez.
Responder1
Bem, a resposta finalmente veio até mim. Não percebi que o endpoint que estava tentando alcançar estava atrás de um balanceador de carga, mas descobri que estava. Essa foi a fonte do meu problema.