Почему IE показывает всплывающее окно сертификата, если режим аутентификации в IIS — анонимный?

Question

Браузер запрашивает сертификат, поскольку сервер отправил сообщение с запросом сертификата во время установления связи TLS.

Обычно, как часть этого, он отправляет список Distinguished Names CAs, чьи сертификаты он будет принимать для аутентификации. Этот список в основном означает«отправьте мне сертификат аутентификации клиента, выданный одним из этих центров сертификации». Если он не отправляет список, клиент может отправить любой сертификат аутентификации клиента, который у него есть, который может не быть доверенным сервером. Это просто увеличит нагрузку/разочарование оператора, которому придется решать (угадайте?), какой сертификат выбрать.

Следовательно, вы видите три сертификата либо потому, что в вашем браузере установлено только три сертификата аутентификации клиента, а список пуст; либо потому, что в вашем браузере установлено более трех сертификатов аутентификации клиента, а список, отправленный сервером, ограничивает их выбор.

Подробности вRFC 5246 Раздел 7.4.4.

Возможность запроса сертификата у клиента настроена на сервере, поэтому вам отображается это всплывающее окно, поскольку сервер настроен на запрос клиентского сертификата.

Помните, что это происходит до того, как начнется поток HTTP-трафика, поэтому настройка таких вещей, какАнонимная аутентификацияна IIS это не повлияет, поскольку это связано с тем, как пользователь проходит аутентификацию по HTTP (нет, Kerberos, имя пользователя/пароль и т. д.) после настройки сеанса TLS.

Большинство веб-серверов можно настроить с разными параметрами для разных схем (http или https), разных портов (443 или 8443), разных имен DNS (www.example.orgvs app.example.org) или даже разные виртуальные каталоги (/ vs /myapp). Именно на этом уровне находится настройка запроса аутентификации клиента.

В IIS аутентификация клиента настраивается в разделеНастройки SSLстраница. Требуется SSLустанавливает, используется ли HTTPS (идентификация сервера и шифрование), а также три параметра нижеСертификаты клиентовопределить, будет ли браузер ожидать отправки сертификата аутентификации клиента или нет (последнее не может быть без первого, поскольку аутентификация клиента является частью TLS (или SSL)). Существует другойНастройки SSLстраница для каждого сайта и для каждого виртуального каталога под сайтом. Если вы не хотите, чтобы сервер запрашивал клиентские сертификаты, установите это значениеИгнорироватьво всех из них.

Answer 1

Браузер запрашивает сертификат, поскольку сервер отправил сообщение с запросом сертификата во время установления связи TLS.

Обычно, как часть этого, он отправляет список Distinguished Names CAs, чьи сертификаты он будет принимать для аутентификации. Этот список в основном означает«отправьте мне сертификат аутентификации клиента, выданный одним из этих центров сертификации». Если он не отправляет список, клиент может отправить любой сертификат аутентификации клиента, который у него есть, который может не быть доверенным сервером. Это просто увеличит нагрузку/разочарование оператора, которому придется решать (угадайте?), какой сертификат выбрать.

Следовательно, вы видите три сертификата либо потому, что в вашем браузере установлено только три сертификата аутентификации клиента, а список пуст; либо потому, что в вашем браузере установлено более трех сертификатов аутентификации клиента, а список, отправленный сервером, ограничивает их выбор.

Подробности вRFC 5246 Раздел 7.4.4.

Возможность запроса сертификата у клиента настроена на сервере, поэтому вам отображается это всплывающее окно, поскольку сервер настроен на запрос клиентского сертификата.

Помните, что это происходит до того, как начнется поток HTTP-трафика, поэтому настройка таких вещей, какАнонимная аутентификацияна IIS это не повлияет, поскольку это связано с тем, как пользователь проходит аутентификацию по HTTP (нет, Kerberos, имя пользователя/пароль и т. д.) после настройки сеанса TLS.

Большинство веб-серверов можно настроить с разными параметрами для разных схем (http или https), разных портов (443 или 8443), разных имен DNS (www.example.orgvs app.example.org) или даже разные виртуальные каталоги (/ vs /myapp). Именно на этом уровне находится настройка запроса аутентификации клиента.

В IIS аутентификация клиента настраивается в разделеНастройки SSLстраница. Требуется SSLустанавливает, используется ли HTTPS (идентификация сервера и шифрование), а также три параметра нижеСертификаты клиентовопределить, будет ли браузер ожидать отправки сертификата аутентификации клиента или нет (последнее не может быть без первого, поскольку аутентификация клиента является частью TLS (или SSL)). Существует другойНастройки SSLстраница для каждого сайта и для каждого виртуального каталога под сайтом. Если вы не хотите, чтобы сервер запрашивал клиентские сертификаты, установите это значениеИгнорироватьво всех из них.

Почему IE показывает всплывающее окно сертификата, если режим аутентификации в IIS — анонимный?

решение1

Связанный контент