IE未在TLS相互身份验证中发送客户端证书

Question

我正在尝试与第三方API建立TLS相互身份验证.客户端证书配置正常,当我尝试通过Chrome访问终点网址时,它工作正常(Chrome要求在消息框中确认证书,当我这样做时,页面会显示其内容).

当我尝试使用IE时,它不起作用并显示此消息

Cannot securely connect to this page

This might be because the site uses outdated or unsafe TLS security settings. If this keeps happening, try contacting the website’s owner.

Your TLS security settings aren’t set to the defaults, which could also be causing this error.

所以我将详细信息记录到Wireshark,这就是它的外观 当我深入了解详细信息时,我可以看到客户端证书从未在步骤9(TLSv1.2 379证书,客户端密钥交换,更改密码规范,加密握手消息)上发送.

在第10步中,这是我得到的错误

这种行为背后的原因是什么？

更新:当我尝试通过代码访问smae端点并检查SChannel日志时,我可以看到这样的警告

The remote server has requested TLS client authentication, but no
suitable client certificate could be found. An anonymous connection
will be attempted. This TLS connection request may succeed or fail,
depending on the server's policy settings.

Answer 1

看看它在 chrome 中的工作原理，而不是 IE 中的工作原理，我认为可以肯定地说这个问题是 IE 特有的。由于您已经添加了证书，因此听起来证书是被自动选择的，但没有发送。您还在错误中收到一条消息，指出“您的 TLS 安全设置未\xe2\x80\x99t 设置为默认值”。我在这里找到了一些可能适用于您的情况的信息。基本上它表示如果启用了 SSL 2.0，IE 就无法成功使用 TLS 1.2。你能检查一下这个设置吗？

\n\n

设置图片

\n\n

转到互联网选项 -> 高级。查找“使用 SSL 2.0”，我可能没有看到该选项，因为我使用的是更高版本的 windows/IE，其中 SSL 2.0 不是一个选项，但您可能有它，具体取决于哪个版本）你正在使用。

\n