我一直在嘗試在 IIS 端點上設定客戶端憑證授權。請按照以下教學進行操作https://joji.me/en-us/blog/how-to-create-an-iis-website-that-requires-client-certificate-using-self-signed-certificates/ 我建立了一個根證書,然後建立了該根證書的伺服器證書和用戶端證書。
我看到在我的伺服器(Windows 2012 R2,使用IIS 8.5)上,當我將根憑證安裝到受信任的根憑證儲存空間並將客戶端憑證安裝到目前使用者的個人儲存體時,我可以瀏覽到端點。我輸入位址 (https://localhost/foobar/endpointName),會出現一個客戶端憑證清單供我選擇,如果我選擇正確的證書,我就會到達端點。
遠程這是一個不同的故事。當我嘗試在用戶個人存儲中安裝了相同客戶端證書的另一台計算機時,我沒有獲得可供選擇的客戶端證書列表,只是收到 403 未經授權錯誤。在這種情況下,URL 是https://serverCertName.domain.com/foobar/endpointName,其中 serverCertName.domain.com 具有正確的 A 記錄。我也在 IE 中嘗試過此操作,您可以在其中專門加載證書並獲得相同的結果。在我嘗試存取的伺服器上的 IIS 日誌中,這些嘗試被記錄為 403.7。
我還使用 HttpClient (C#) 在遠端伺服器上的程式碼中嘗試過此操作,並且也在那裡獲得了未經授權。我盯著螢幕看了很長時間,試圖找出本地請求和遠端請求之間的區別,但這次我的網路搜尋技能讓我失敗了。
答案1
好吧,我終於得到了答案。我沒有意識到我試圖到達的端點位於負載平衡器後面,但事實證明確實如此。這就是我的問題的根源。