none
SHA-2のクライアント証明書がクライアントで選択できない RRS feed

  • 質問

  • SHA-1でAD証明書サービス(スタンドアローンCA)を構築し、

    サーバ証明書、クライアント証明書を利用していたのですが、

    各ブラウザで見た目がエラーになるなどもあり、SHA-2(SHA256)にて

    認証局を別に構築し、サーバ証明書、クライアント証明書を作成したのですが、

    テストサイトにてクライアント証明書が選択できず403エラーとなってしまいます。

    認証局とサーバ証明書はエラーなく利用出来ています。

    原因の切り分けになるような情報などありましたら提供をお願いいたします。

    環境

    証明書発行サーバ:(ローカルサーバ)

    ※crlは外部参照できる場所に設置し、ファイル取得もできる状態となっている

    サーバ:Windows Server 2008 R2(64bit)

    WEB:IIS7.5

    CA認証:AD証明書サービス(スタンドアローンCA)

    IISサーバ

    サーバ:Windows Server 2008 R2(64bit)

    WEB:IIS7.5

    WEBサーバとして通常稼働(3年)

    ・テストサイトの構成

     ホームディレクトリ:SSL必須、クライアント証明書は無視 

     テストディレクトリ:SSL必須、クライアント証明書も必須

    ・別サイトにてsha-1の認証局にて発行したサーバ証明書を組み込んだサイトあり

    確認PC

     windows7 64bit

     ブラウザ:IE11,Fier Fox

      ホームディレクトリへのSSL接続は正常、証明書も緑表示

      テストディレクトリへの接続で、クライアント証明書の選択画面が表示されない

    また、sha-1の認証局にて作成したクライアント証明書をインストールした状態だと

    テストディレクトリへの接続が正常に行われる

    テストサーバにてsha-1とsha-2のサーバ証明書が存在する状態となっているのですが、

    これが原因でクライアント証明書の参照が誤作動しているのでしょうか?

    httpsポートは443を共に利用しておりますが、IPアドレスが異なるので問題なく接続していると思います。

    よろしくお願いいたします。

    2016年1月6日 3:36

すべての返信

  • 私も同様な現象が発生しました。

    サーバ:Windows Server 2016

    クライアント証明証を要求するWeb画面で、

    キーのオプションのCSPを「Microsoft Enhanced RSA and AES Cryptographic Provider」を選択することで解決しました。

    Windows Server 2016ではCSPのデフォルトが「Microsoft RSA SChannel Cryptographic Provider」でした。

    亀レスですが解決の参考になれば幸いです。

    2017年8月14日 10:29