Получение 401.2 при включенной аутентификации сертификата

Question

Я настраиваю сервер, чтобы только веб-сервисы могли получить доступ к сопоставленным сертификатам.Для него требуются сертификаты SSL / Client, анонимная проверка подлинности, олицетворение asp.net, проверка подлинности с помощью форм и проверка подлинности Windows отключены.Включено сопоставление клиентских сертификатов «один к одному», и сертификаты настроены на коробке с соответствующим сопоставлением пользователей.Когда я пытаюсь использовать веб-сервис, я получаю 401.2.Если я включаю анонимную аутентификацию, она работает, но я не хочу, чтобы какой-либо старый сертификат имел доступ к веб-сайту.

У меня есть другая машина, для которой в этой конфигурации отключена анонимная аутентификация, и она работает.Я не уверен, в чем разница.

Answer 1

Я столкнулся с той же проблемой, но решение выше не решило мою проблему.Я настраивал проверку подлинности сертификата IIS в подкаталоге веб-сайта, а не на самом веб-сайте.

Итак, это неправильно:

И это правильно:

Как только я переместил конфигурацию в корень веб-сайта, все заработало отлично.

Я нашел решение в http://blogs.msdn.com/b/saurabh_singh/archive/2009/06/13/avoid-this-confusion-around-client-certificate-mapping-in-iis-6-0-7-0.aspx.

Answer 2

В итоге проблема заключалась в том, что вызывалось программное обеспечение, а не в конфигурации.Я награждаю Натемриса за вознаграждение, так как он приложил немало усилий, чтобы ответить на то, что в итоге оказалось не вопросом.

edit: Для получения дополнительной информации, это фактически оказалось несоответствием между отправляемым сертификатом (из локальной коробки) и сертификат, который был помещен в сопоставления oneToOne.Общее имя было таким же, но сертификаты были другими (вероятно, срок действия первого истек), поэтому сертификат просто не был авторизован.

Answer 3

Вы выдавали клиентские сертификаты с сервера сертификатов, которому доверяют клиенты / сервер? Если вы посмотрите на свойство «Расширенное использование ключа» в сертификатах, является ли «Аутентификация клиента» одним из его свойств? В IIS установлена ​​ли роль сопоставления сертификата клиента (см. Рисунок 1)? Вы включили " Отображение сертификата клиента " и сопоставили пользователей с сертификатом? Вам необходимо импортировать все клиентские сертификаты и сопоставить их с учетными записями пользователей здесь. Вы можете удалить все другие методы аутентификации клиента, если настроили это здесь.