13

SSL クライアント証明書認証を使用する Web サイトを持っています。すべてのクライアント証明書は OpenSSL を使用して生成され、自己署名されています。すべてがすべての Web ブラウザーで機能しましたが、推奨されたのは Google Chrome でした。IE と同じ SSL ウェアハウスを使用しているため、証明書のインストールは非常に簡単でした (クリック-クリック-パスワードで完了!)。Google「Chrome 29.0.1547.57 m」の最後の更新後、誰も私のWebサーバーにアクセスできなくなりました。グーグルクロームエラーのみ!IE と FF は正常に動作しています。エラー: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED. サーバーエラーログでも同じです。何か提案はありますか?問題は、ほとんどのクライアントが PC に慣れておらず、その状況に非常に怯えていることです。そのため、電話サポート担当者は電話の波にさらされています。

4

6 に答える 6

7

同じ問題が発生しています。Sean が報告したように、オペレーティング システムが SHA-2 (たとえば、SHA-256 または SHA-384) ハッシュ関数をサポートしていなくても、Windows XP 上の Chrome は TLSv1.2 をネゴシエートするようです。

SERVER HELLO に続いて「クライアント証明書要求」を受信すると、Chrome が失敗することがわかりました。SERVER HELLO 自体が RC4-SHA1 (私たちの環境では) をネゴシエートし、成功するはずです。問題のパケットは、ハッシュ用の SHA-2 (および SHA1) 関数を含む「クライアント証明書要求」のようです。

「--enable-logging --log-level=0」を指定して Chrome を起動すると、次のメッセージが出力されます。

これは、CryptSignHash 関数の「NTE_BAD_ALGID」に対応するオペレーティング システム エラーです: http://msdn.microsoft.com/en-us/library/windows/desktop/aa380280(v=vs.85).aspx

サーバーで TLSv1.2 を無効にすると、問題が解決するはずです。しかし、Windows XP では Chrome は SHA1 を優先するべきだと思います。

于 2013-08-26T02:06:06.503 に答える
4

Windows7 クライアント システムで、一部のシステムに対してクライアント証明書で認証できず、他のシステムでは認証できないという同じことがここで発生しています。影響を受けるサーバーは Apache Tomcat を実行し、影響を受けないサーバーは IIS7 を実行していますが、その違いを原因として特定するのはためらっています。

他の誰かがこれを見ていますか?

編集:

サーバーでTLSv1.2 を無効にすることで、この問題を解決できました。他の誰かがこの経験を再現できますか?

ここで発生している唯一の場所であるため、Windowsプラットフォーム以外で他の誰かがこれを見ているかどうかも知りたいです(同じバージョンのOSXには問題はありません)。

EDIT2:

Chrome バグ レポートはこちら: https://code.google.com/p/chromium/issues/detail?id=278370

EDIT3:

最新の Chrome 安定版で再び動作するはずです。Chrome 30 ではより堅牢な修正が行われる予定ですが、29.x でも動作するはずです。

于 2013-08-23T13:43:21.547 に答える
0

この問題がありました ChromeをWebSocketsに接続すると、proxy_wstunnel_moduleがスローされます。

私の解決策は httpd.conf を構成することでした

ProxyPass /wss2/ ws://127.0.0.1:8080/  retry=0 keepalive=On
ProxyPassReverse /wss2/ ws://127.0.0.1:8080/  retry=0 
    <Location /wss2/>
        SSLRequireSSL On
        SSLVerifyClient none
        SSLVerifyDepth 1
        SSLOptions +StdEnvVars +StrictRequire
        SSLRenegBufferSize 10486000
    </Location>

Chrome WebSockets はパラメータ SSLVerifyClient を好きではありません オプション

これが役立つことを願っています。

于 2016-05-16T04:54:13.963 に答える
0

Win XP と Google Chrome の組み合わせです 29.0.1547.57 m Win 7/8 ではこの問題は発生しません。

古い作業バージョン 28.0.1500.95 http://www.filehippo.com/download_google_chrome/15657/をインストールできます

しかし、更新を無効にするための設定はそれほど簡単ではありません。 http://dev.chromium.org/administrators/turning-off-auto-updates

于 2013-08-22T08:33:26.160 に答える