我正在尝试连接到使用 SSL 证书的网站,当尝试不包含当前用户中本地计算机上安装的证书时,连接成功,但是,当选择用户的证书时,通过证书选择对话框中,连接会被互联网浏览器、chrome 和 Edge 重置,但 Firefox 不会重置。
允许选择证书并连接到网站的唯一替代方法是在 Internet Explorer 模式下使用 Microsoft Edge。
两种情况重现如下:
a.输入网站地址并回车
b.通过证书选择对话框选择证书。
c.互联网浏览器显示消息无法到达此页面以及消息 ERR_CONNECTION_RESET。
在这种情况下,如果您在证书选择对话框中单击“取消”,站点将正常显示,但使用相应证书的验证和身份验证将丢失。
a.输入网址并回车
b.使用证书选择对话框选择证书。
c.互联网浏览器显示消息“无法访问此页面”和消息“ERR_CONNECTION_RESET”。
d。仅在 Microsoft Edge 的情况下,激活 (...) 在 Internet Explorer 模式下重新加载选项。
e。再次弹出证书选择对话框。选择证书(如果有多个),或者直接单击“确定”。
f。网站已加载并显示主页。
只有 Firefox 连接到该网站时没有任何警告或问题,仅选择证书,当有多个证书时,如果只有一个,Firefox 会直接连接,而不要求任何选择。
Chrome 和 Edge 中是否存在某种新要求导致这种情况?
当网站配置为使用 TLS1.3、HTTP/2、客户端身份验证证书并提供对 post_handshake_auth TLS 扩展的支持时,会出现此问题。
受影响的浏览器执行 TLS 握手不会出现问题,但直到握手完成后,服务器才会请求客户端证书。 如果客户端不支持握手后认证,连接将被强制重置。
分辨率:
基于 Chromium 的代理没有计划提供对 post_handshake_auth TLS 扩展的支持。 为了缓解这个问题,服务器需要在 TLS 握手过程中请求客户端证书。
例如,HTTP.SYS 有一个名为 ClientCertNegotiation 的标志,默认情况下禁用该标志,但可以根据以下文章为 IIS 站点绑定启用该标志:
Netsh http 命令:https://learn.microsoft.com/en-us/windows-server/networking/technologies/netsh/netsh-http#add-sslcert