Client certificate auth - моментально 403 Forbidden

[Flash-04]

Какой то из старых security updates запрещал tls renegotiation:
https://blogs.msmvps.com/alunj/2010/02/ ... oundpatch/

[shadow7256]

Вроде продвинулись.. Пронюхали пакеты и увидели, что на Application layer связь идет через HTTP/2 протокол. А WEB API с клиентским сертификатом не поддерживает HTTP/2 и требует HTTP 1.1. Поэтому видим, что от сервера приходит ответ HTTP_1.1_Required. И на этом все обрывается.

все таки проблема скорее всего из за TLS renegotiation Как то можно посмотреть запрещено ли re-negotiation или нет?

[Palych]

Вроде продвинулись.. Пронюхали пакеты и увидели, что на Application layer связь идет через HTTP/2 протокол. А WEB API с клиентским сертификатом не поддерживает HTTP/2 и требует HTTP 1.1. Поэтому видим, что от сервера приходит ответ HTTP_1.1_Required. И на этом все обрывается.

Тогда откуда 403?

[shadow7256]

Вроде продвинулись.. Пронюхали пакеты и увидели, что на Application layer связь идет через HTTP/2 протокол. А WEB API с клиентским сертификатом не поддерживает HTTP/2 и требует HTTP 1.1. Поэтому видим, что от сервера приходит ответ HTTP_1.1_Required. И на этом все обрывается.

Тогда откуда 403?

Хрен его знает

[Flash-04]

Так наверное клиент не соглашается

[shadow7256]

Еще больше пронюхал.. вижу запрос от сервера, где он просит клиента предоставить клиентский сертификат.

В ответ клиент шлет сразу же ответ и НЕ шлет никакого сертификата.

Untitled.png

Посмотрите пакет 44 (ответ клиента). и ниже Certificate -> 0.

И у клиента в браузере не выскакивает окошко для выбора сертификата.. вот в чем проблема

[mitnlag]

Еще больше пронюхал.. вижу запрос от сервера, где он просит клиента предоставить клиентский сертификат.

HTTP/2 standard has no implementation for client certificate authentication.

[mitnlag]

пишут, что ставили nginx перед iis и тогда работало

[Flash-04]

Ну вот и разобрались что проблема на стороне клиента

[kostik78]

Посмотрите пакет 44 (ответ клиента). и ниже Certificate -> 0.

И у клиента в браузере не выскакивает окошко для выбора сертификата.. вот в чем проблема

Чего то Вы запутали совсем. Насколько я понял у Вас была проблема с С# клиентом а теперь Вы говорите про браузер. В браузере окошко выбора сертификатов может не появляется по причине security settings на самом браузере. В C# скорее всего другая проблема и я давно посоветовал Вам SSL логи включить.

[shadow7256]

Еще больше пронюхал.. вижу запрос от сервера, где он просит клиента предоставить клиентский сертификат.

HTTP/2 standard has no implementation for client certificate authentication.

верно, и поэтому мы видим в пакетах, кто сервер просит клиента переключится на HTTP 1.1 и клиент переключается на HTTP 1.1

[shadow7256]

Ну вот и разобрались что проблема на стороне клиента

проблема на стороне клиента, это 100 процентов.

[shadow7256]

Чего то Вы запутали совсем. Насколько я понял у Вас была проблема с С# клиентом а теперь Вы говорите про браузер. В браузере окошко выбора сертификатов может не появляется по причине security settings на самом браузере. В C# скорее всего другая проблема и я давно посоветовал Вам SSL логи включить.

я сам сильно зае..ся решать эту проблема, потому как в этом гребаном банке никто ни за что толком не отвечает, но хотят иметь 100% bullet proof решение.

Я сделаю простое клиентское приложение на С# и посмотрю что мне сервер выдаст.

С браузером согласен, что это скорее всего настройки браузера.

[kostik78]

Чего то Вы запутали совсем. Насколько я понял у Вас была проблема с С# клиентом а теперь Вы говорите про браузер. В браузере окошко выбора сертификатов может не появляется по причине security settings на самом браузере. В C# скорее всего другая проблема и я давно посоветовал Вам SSL логи включить.

я сам сильно зае..ся решать эту проблема, потому как в этом гребаном банке никто ни за что толком не отвечает, но хотят иметь 100% bullet proof решение.

Я сделаю простое клиентское приложение на С# и посмотрю что мне сервер выдаст.

С браузером согласен, что это скорее всего настройки браузера.

С клиентом обычно все просто: даёшь клиентский сертификат и приватный ключ. Если обе стороны знают сертификаты то все должно работать. Правда я тут порылся в инете и выглядит так, что в винде какой то дополнительный уровень секьюрити накрутили. Нашёл что народ утверждает что инсталлированный self-signed cert в store может быть виндой помещённый в black list и не давать его использовать. Насколько это правда не знаю - с виндой не работал давно (по моему последняя была Windows XP)

[shadow7256]

С клиентом обычно все просто: даёшь клиентский сертификат и приватный ключ. Если обе стороны знают сертификаты то все должно работать.

у нормальных людей да, все работает. Но только не в этом гребаном банке.

Правда я тут порылся в инете и выглядит так, что в винде какой то дополнительный уровень секьюрити накрутили. Нашёл что народ утверждает что инсталлированный self-signed cert в store может быть виндой помещённый в black list и не давать его использовать. Насколько это правда не знаю - с виндой не работал давно (по моему последняя была Windows XP)

с self signed сертификатами да, могут быть проблемы. Но мы используем нормальный сертификат, правда подписанный самим банком. У них политика такая, все сертификаты выпускают только они сами.