22

我正在尝试将 IIS 网站配置为需要 SSL 客户端证书。该网站是在 IIS 6 和 7 中设置的,尽管我更感兴趣的是让它在 7 中工作。我在 IIS 中设置了需要客户端证书属性,它在通过 Web 浏览器访问网站时工作正常,但是 Java-基于客户端无法访问它。

我认为问题在于 IIS 在初始 SSL 握手期间没有请求客户端证书。相反,它协商一个正常的 SSL 连接,检查资源是否需要客户端证书,如果需要,则启动一个新的 SSL 握手请求客户端证书。IIS 这样做是为了支持只需要特定资源的客户端证书的站点。即使为整个网站指定了要求,IIS 仍然会启动两次 SSL 握手。我想强制 IIS 在第一次 SSL 握手时请求客户端证书,这有望使客户端正常工作。(客户端是由外部合作伙伴开发的,我几乎不知道它是如何设置的,也无法访问它的源代码)

以前有人在 IIS 中处理过这个问题吗?

4

2 回答 2

13

这是我在 IIS 7.5 上的做法:

  1. 在管理员命令提示符下运行以下命令:netsh http show sslcert
  2. 将输出保存在文本文件中。看起来像这样:

    IP:port                 : 0.0.0.0:443
    Certificate Hash        : [a hash value]
    Application ID          : {[a GUID]}
    Certificate Store Name  : MY
    Verify Client Certificate Revocation    : Enabled
    Verify Revocation Using Cached Client Certificate Only    : Disabled
    Usage Check    : Enabled
    Revocation Freshness Time : 0
    URL Retrieval Timeout   : 0
    Ctl Identifier          : (null)
    Ctl Store Name          : (null)
    DS Mapper Usage    : Disabled
    Negotiate Client Certificate    : Disabled
    
  3. 使用该信息创建一个批处理文件:

    netsh http show sslcert
    netsh http delete sslcert ipport=0.0.0.0:443
    netsh http add sslcert ipport=0.0.0.0:443 certhash=[your cert hash from above] appid={[your GUID from above]} certstorename=MY verifyclientcertrevocation=enable VerifyRevocationWithCachedClientCertOnly=disable UsageCheck=Enable clientcertnegotiation=enable
    netsh http show sslcert
    

    (是的,您必须删除并重新添加;您不能就地更改 clientcertnegotiation。这就是为什么保存哈希和 GUID 很重要,因此它知道要重新添加什么。)

  4. 运行该批处理文件,检查是否有任何错误,完成。

请记住,此设置适用于每个证书,而不是每个服务器。因此,如果您使用多个证书,或更改/更新您的证书,您将不得不再次执行此操作。

于 2013-08-15T10:41:16.217 回答
7

我花了一段时间才找到这个元数据库设置。我们的客户使用新的 certicom 库时遇到了同样的问题。自从发现围绕 SSL 重新协商的 MITM 攻击以来,很多圈子的答案都是挂断重新协商请求。

从 \inetpub\adminscripts 运行以下 cmd 将强制 IIS 始终请求客户端证书。

对于 IIS 6:cscript adsutil.vbs 设置 \w3svc\siteID\SSLAlwaysNegoClientCert True

(所以对于默认网站,cscript adsutil.vbs set \w3svc\1\SSLAlwaysNegoClientCert True)

请记住,某些客户端Internet Explorer在收到该数据包时会提示输入客户端证书,无论是否需要客户端证书。

对于 IIS 7:

将以下文本保存到名为“Enable_SSL_Renegotiate_Workaround.js”的文件中

var vdirObj=GetObject("IIS://localhost/W3svc/1"); 
// replace 1 on this line with the number of the web site you wish to configure 

WScript.Echo("Value of SSLAlwaysNegoClientCert Before: " + vdirObj.SSLAlwaysNegoClientCert); 
vdirObj.Put("SSLAlwaysNegoClientCert", true); 
vdirObj.SetInfo(); 
WScript.Echo("Value of SSLAlwaysNegoClientCert After: " + vdirObj.SSLAlwaysNegoClientCert);

从提升的/管理员命令提示符运行以下命令:

cscript.exe enable_ssl_renegotiate_workaround.js

(从 977377 的知识库文章中提取)

于 2010-07-09T12:19:57.420 回答