13.09.2005 14:10:33Различное поведение IIS 5 & IIS 6 при построении цепочки сертификатов Ответов: 2
Всеволод
Доброго времени суток !

Решили перевести наш проект с IIS 5 на IIS 6 и столкнулись со следующей проблемой : на IIS 6 требуется установка всех промежуточных СА сертификатов для правильного построения цепочки клиентского сертификата ( если он имеет более промежуточные сертификаты) в отличие от IIS 5.
Вопрос заключается в следующем:
Как можно изменить поведение IIS 6, чтобы он работал также как и его младший брат.

В Microsoft conference нам сообщили, что на стороне WEB сервера нужен только рутовый сертификат, но при этом корректно заполненные CDP & AIA екстеншены в промежуточных сертификатах.

CDP & AIA екстеншены в наших СА сертификатах отсутствуют. Более мы развернули тестовые Root Microsoft & Subordinate CA уже с этими екстеншенами, но результат остался тем же, т.е. на стороне браузера мы получаем ошибку:

HTTP Error 403.16 - Forbidden: Client certificate is ill-formed or is not trusted by the Web server.
Internet Information Services (IIS)


Будем благодарны за любую помощь.
Спасибо.
 
Ответы:
19.09.2005 17:44:45Василий
> Как можно изменить поведение IIS 6, чтобы он работал также как и его младший брат.

Попросить об этом: Диспетчер служб IIS - Веб-узлы, Свойства - Служба - Режим изоляции.

Это меняет поведение?

А вообще, это правильно - требовать наличия всех сертификатов промежуточных ЦС и списков отзыва (либо установленных локально, либо доступных по URL из экстеншенов сертификатов).
20.09.2005 10:32:45Всеволод
>Попросить об этом: Диспетчер служб IIS - Веб->узлы, Свойства - Служба - Режим изоляции.

>Это меняет поведение?
Когда я последний раз пробовал - не меняет :(
Попробую еще в свете новых знаний.

>А вообще, это правильно - требовать наличия >всех сертификатов промежуточных ЦС и списков >отзыва (либо установленных локально, либо >доступных по URL из экстеншенов сертификатов).

Абсолютно с этим согласен, НО:
Дело в том, что статус сертификата у нас проверяется дальше в приложении, используя OCSP, поэтому у нас в сертификатах нет таких экстеншенов как CDP и AIA. На Microsoft форуме мне подсказали, что в IIS 6 можно отключить CRL Checking, но и это я вроде бы пробовал с тем же успехом :( В IIS 5 CRL Checking не проводится.
Кстати правильно заполненные эти экстеншены, а также доступность и валидность основных и дельта CRL, действительно, в этом случае не требует наличия промежуточных сертификатов на стороне IIS.

Всеволод.