Окружающая среда:
Windows Server 2012 R2
Tomcat 8.0.45
Около месяца назад мы настроили веб-приложение (работающее на Tomcat) для аутентификации с помощью смарт-карт. Все работало нормально для всех нас.
Около двух недель назад было обнаружено, что некоторые пользователи больше не могут успешно проходить аутентификацию через SSO. Единственная общность, обнаруженная (пока) с затронутыми пользователями, - все их смарт-карты имеют сертификаты SHA1. Пользователи, которые могут успешно пройти аутентификацию, имеют сертификаты SHA256. Все серверные сертификаты SHA256.
Затронутые пользователи могут по-прежнему проходить проверку подлинности на любом другом сервере, который требует проверки подлинности с помощью смарт-карты, несмотря на свои сертификаты SHA1. Проблема проявляется только на одном конкретном сервере для пользовательских смарт-карт с сертификатом SHA1.
Конфигурация аутентификации PKI не изменилась (там не так много - баночка и файл конфигурации).
JAVA не был обновлен или изменен.
Серверная сторона - это немного слепое пятно. Мы не считаем, что это было исправлено / обновлено недавно; однако команда безопасности, возможно, выдвинула новую, непроверенную политику, не уведомляя никого (обычная практика для них), и они не отвечали на запросы.
Есть ли в Windows какой-либо параметр GPO / безопасности, который можно было бы вытолкнуть для блокировки клиентских сертификатов SHA1? Сроки совпадают с недавним обновлением Win1709, но если бы оно было на стороне клиента, я бы ожидал, что оно повлияет на все серверы.
Текущий статус: Ну и действительно в тупик ... Цените все советы.
-TS