Tenho um problema com o IIS no Windows Server 2019 e no TLS 1.2.
Substituí a ROOT CA e há novos certificados raiz confiáveis instalados.
Agora IIStenho alguns sites require sslconfigurados como verdadeiros.
Agora existem dois cenários usando o Firefox:
Um GET em qualquer site que exija TLS edo cliente(Raposa de fogo)enviar certificado emitido pela OLD ROOT CAe ainda é válido e http200/ok.
MAS
Sedo cliente(Firefox / Chrome etc é o mesmo) enviar certificado emitido pela NEW ROOT CA (válido também) recebo um 403.7 do servidor. (não vejo isso no navegador, apenas pede novamente o certificado)
Não sei por que mostra 12s aqui. A resposta é instantânea e NO CLIENTE não vejo 403.7, vejo conexão redefinida?
Como tentar depurar mais?
e também a coisa mais estranha:
Se eu fizer o mesmo com o mesmo certificado emitido pela nova CA raiz, mas do carteiro, recebo um 200/ok como descobrir por quê?
e a segunda coisa mais estranha:
Se eu hospedar o mesmo site require sslem outro servidor Windows Server 2019, tudo bem com ambos os certificados.
ENTÃO É ESTE PROBLEMA DE SERVIDOR COM NOVOS CERTS CA / ISSUER.
----editar------
mais uma coisa estranha:
Se eu fizer o mesmo, mas do servidor, via IP do servidor ou localhost, e enviar o MESMO novo certificado, tudo bem.
Então SOMENTE quando vamos do navegador REMOTE pc há esse problema, então estou pensando em alguns problemas de netsh?
Não faço ideia do que há mais para verificar.
e também
Nenhuma nova CA raiz está instalada em ambas as máquinas, cliente ou servidor, e visível em mmc> certs máquina raiz confiável ca no intermediário também ok, etc.
No IIS é configurado apenas o certificado SSL para ligação https que corresponde ao URL do terminal, emitido pela CA raiz nova/antiga, sem diferença - redefinição de conexão do navegador e ok do carteiro. E também se eu importar este novo certificado CLIENTE NO servidor para poder verificar a cadeia, a cadeia de certificados está ok e confiável.
IMHO, se funcionar em localhost com o mesmo certificado de cliente, as configurações do IIS estão 100% ok, então deve ser outra coisa? talvez algo com netsh? verificado também e é o mesmo da segunda máquina que funciona bem.
Por favor, informe o que há mais para verificar ou onde pode estar o problema?
Responder1
Você também substituiu os certificados nos sites por novos root ca. Ao alterar a ca raiz, toda a cadeia de certificados muda, portanto os próprios certificados também precisam refletir isso
Para testar, eu emitiria um novo certificado da nova CA raiz e o importaria para a ligação SSL dos sites envolvidos. Certifique-se também de limpar o cache do navegador e reiniciar o iis após alterar os certificados
Outra opção mais complexa seria exportar o certificado atual e abri-lo como um arquivo de texto, decodificá-lo e ver se o novo ca raiz está lá