Клиентские сертификаты и FireFox

Question

Мне нужна помощь, чтобы понять, что происходит с моим веб-приложением. У меня есть простое веб-приложение (C# .Net 2.0), которое использует аутентификацию смарт-карты. В моем тестовом поле (win 2k3 32 bits, iis6) все работает нормально, но в моей производственной коробке (win2k3 64 бит, iis6) firefox не может отправить сертификат, размещенный на карте, на сервер (коллекция Request.ClientCertificate - пусто). Если я попытаюсь просмотреть один и тот же сайт с IE (6, 7 и 8) или Safari, он будет работать.

Конфигурация IIS на обоих серверах одинакова: одни и те же сертификаты ssl, один и тот же CTL. Я читал много о проблемах с firefox с сертификатами, но ни один из них не соответствует моим.

Если кто-нибудь из вас может дать понять, что происходит, я буду очень благодарен.

Glauco.

Answer 1

Вы запускаете Firefox на одном компьютере (и, следовательно, разницу 64/32 бит) или оба раза на одном и том же клиентском компьютере (я бы предположил, что здесь 32bit), и он не работает для вас, когда сервер отличается (64bit)?

Отображает ли Firefox сертификат (Предпочтения -> Дополнительно -> Шифрование -> "Просмотр сертификатов -> Мои сертификаты" и "Защитные устройства")? Включите «Спросить каждый раз» для выбора сертификата и убедитесь, что Firefox действительно пытается использовать для использования карты.

Какую карту (производителя, типа) и программное обеспечение (поставщик PKCS №11) вы используете?

Answer 2

Отказ от ответственности: это основано только на моих собственных наблюдениях.

В версии 22.0, Firefox не представит сертификат клиента на всех, если поле CN («общее название») сертификата сервера «S , как представляется, имя DNS, но не соответствует хост это (например, имя хоста в строке URL).

Если вы считаете, что это может быть ваша проблема, вы можете протестировать его, либо удостоверившись, что запрашиваемый вами хост является тем, который указан в поле сертификата сервера, или предоставив самозаверяющий сертификат с таким глупым значением, как «Джим Боб» в поле CN.