双向SSL在服务器上工作,但不从客户端工作
我有一个在Windows2003R2下运行的IIS6.0下托管的WCF服务。该服务是SSL安全的,带有“必需的客户端证书”选项。 当我在Win2003R2中从IE浏览服务时,我能够看到WSDL。 当我试图从运行IE的WinXP开发机器上浏览时。我看到像这样的403.7错误双向SSL在服务器上工作,但不从客户端工作,ssl,Ssl,我有一个在Windows2003R2下运行的IIS6.0下托管的WCF服务。该服务是SSL安全的,带有“必需的客户端证书”选项。 当我在Win2003R2中从IE浏览服务时,我能够看到WSDL。 当我试图从运行IE的WinXP开发机器上浏览时。我看到像这样的403.7错误 The page requires a client certificate ...... ...... HTTP Error 403.7 - Forbidden: SSL client certificate is req
The page requires a client certificate
......
......
HTTP Error 403.7 - Forbidden: SSL client certificate is required.
Internet Information Services (IIS)
我花了5天的时间在这上面,尽了一切可能
有什么我遗漏或不知道的吗?在MSFT支持的帮助下,我终于解决了这个问题。 原因是,在Web服务器上,受信任的根证书颁发机构文件夹中的证书太多,超出了建议的长度。因此我在事件日志中得到了这个警告
When asking for client authentication, this server sends a list of
trusted certificate authorities to the client. The client uses this
list to choose a client certificate that is trusted by the server.
Currently, this server trusts so many certificate authorities that the
list has grown too long. This list has thus been truncated. The
administrator of this machine should review the certificate
authorities trusted for client authentication and remove those that
do not really need to be trusted.
我确实删除了一些过期/未使用的证书,但仍然不够。我无法删除更多的证书,因为它们没有过期,我担心会破坏系统。
我们使用方法3来解决所讨论的问题
虽然它解决了我的问题,但使用此方法的唯一缺点是,客户端浏览器将向您显示计算机中存在的所有客户端证书的列表,而不是根据信任根CA选择需要哪个服务器。
这对我来说很有用,因为我有一个WCF服务,而不是一个网站