我有一个需要客户端证书的 IIS 网站。我已关闭 CRL 检查。客户端无法访问该网站 - 他收到 403.17(证书已过期)错误。
我想记录他正在使用的证书,因为我认为他使用了错误的证书。
有办法吗?我可能无法使用 WireShark,因为从客户端传递的客户端证书可能已经加密。
我正在运行 WIndows 2003 服务器。
马特拉
答案1
不,您只能记录身份验证失败的响应代码。无法从服务器端确定正在使用哪个证书。
答案2
更新我的问题:
您不能在 SSl 的反向代理场景中使用 Fiddler
您不能使用 Microsoft SslDiag,因为它不记录过期的证书
因此唯一可行的选择是使用 WireShark
答案3
证书以明文形式交换;TLS 跟踪明文数据,并在获得安全层后交换有关该明文数据的信息,以确认其未被篡改。
您可以使用 wireshark 捕获 https 会话;客户端证书应该位于从客户端到服务器的第一个数据包中后客户端问候。(除非通过重新协商完成)。