Tại sao IE hiển thị cửa sổ bật lên chứng chỉ khi chế độ xác thực trong IIS ẩn danh?

Tôi có một trang web được triển khai trên máy chủ IIS. Chế độ xác thực được đặt thành ẩn danh: đã bật.

Khi tôi nhập url của trang web và nhấn nút enter, IE sẽ hiển thị cho tôi cửa sổ bật lên chứng chỉ yêu cầu tôi chọn chứng chỉ. Tại sao điều này có thể xảy ra?

Trình duyệt đang nhắc cấp chứng chỉ vì máy chủ đã gửi thông báo Yêu cầu chứng chỉ trong quá trình bắt tay TLS.

Thông thường, như một phần của quá trình này, nó sẽ gửi một danh sách Tên phân biệt của các CA có chứng chỉ mà nó sẽ chấp nhận để xác thực. Danh sách này về cơ bản có nghĩa là "gửi cho tôi chứng chỉ xác thực ứng dụng khách được cấp bởi một trong những CA này". Nếu nó không gửi một danh sách, máy khách có quyền tự do gửi bất kỳ chứng chỉ xác thực ứng dụng khách nào mà nó có, chứng chỉ này có thể không được máy chủ tin cậy. Điều đó chỉ đơn giản là làm tăng khối lượng công việc/sự thất vọng của người vận hành, những người phải tìm ra (đoán xem?) Nên chọn chứng chỉ nào.

Do đó, bạn đang nhìn thấy ba chứng chỉ vì bạn chỉ cài đặt ba chứng chỉ xác thực ứng dụng khách trong trình duyệt của mình và danh sách trống; hoặc bạn đã cài đặt nhiều hơn ba chứng chỉ xác thực ứng dụng khách trong trình duyệt của mình và danh sách do máy chủ gửi sẽ hạn chế lựa chọn của chúng.

Chi tiết có trong RFC 5246 Mục 7.4.4.

Tùy chọn yêu cầu chứng chỉ từ máy khách được định cấu hình trên máy chủ, do đó bạn sẽ thấy cửa sổ bật lên này vì máy chủ được định cấu hình để yêu cầu chứng chỉ ứng dụng khách.

Hãy nhớ rằng điều này xảy ra trước bất kỳ luồng lưu lượng HTTP nào, vì vậy hãy đặt những thứ như Xác thực ẩn danh trên IIS sẽ không ảnh hưởng đến điều này vì nó liên quan đến cách người dùng được xác thực qua HTTP (không có, Kerberos, tên người dùng/mật khẩu, v.v.) sau khi phiên TLS đã được thiết lập.

Hầu hết các máy chủ web có thể được định cấu hình với các cài đặt khác nhau cho các lược đồ khác nhau (http so với https), các cổng khác nhau (443, so với 8443), tên DNS khác nhau (www.example.org vs app.example.org) hoặc thậm chí các thư mục ảo khác nhau (/ vs /myapp). Ở cấp độ này, nơi tìm thấy cài đặt để yêu cầu xác thực ứng dụng khách.

Trong xác thực ứng dụng khách IIS được định cấu hình trong Cài đặt SSL trang. Yêu cầu SSL đặt xem HTTPS có được sử dụng hay không (nhận dạng và mã hóa máy chủ) và ba tùy chọn bên dưới Chứng chỉ ứng dụng khách xác định xem trình duyệt có được yêu cầu gửi chứng chỉ xác thực ứng dụng khách hay không (bạn không thể có chứng chỉ sau mà không có chứng chỉ trước vì xác thực ứng dụng khách là một phần của TLS (hoặc SSL)). có một sự khác biệt Cài đặt SSL trang cho mỗi trang web và cho mỗi thư mục ảo trong một trang web. Nếu bạn không muốn máy chủ yêu cầu chứng chỉ ứng dụng khách, hãy đặt tùy chọn này thành Phớt lờ trong tất cả chúng.