最近,我的IIS 7.5 SSL站点重新启动后开始拒绝连接。 奇怪的是,这个问题可以通过绑定网站与不同的证书,并切换回正确的问题。
在发生故障时,wireshark会显示客户端发送各种SSL hello数据包(TLS 1.0,1.1,1.2),服务器使用TCP RST进行响应。 当工作客户端你好几乎是相同的(相同的密码/压缩/ SNI)。同样的行为显示为IE和Chrome(内容略有不同,但即时RST是常见的)这表明它很可能是服务器端的东西。
我唯一的提示是随机的SChannel事件ID 36870“尝试访问SSL服务器凭证私钥时发生致命错误,encryption模块重新生成的错误代码为0x8009030d,内部错误状态为1001。 检查我的库0x8009030d是“SEC_E_UNKNOWN_CREDENTIALS”和1001可能是MSG_FILE_NOT_FOUND。
基于此,我检查了每个kb278381 Crypto / RSA文件夹的权限,并按预期发现它们。 我强制对基础文件夹进行inheritance,但不会导致行为改变。
任何线索在哪里看下一个将不胜感激!
我猜想这是重置您提到的文件夹的权限,最有可能通过组策略的安全策略。 (怀疑任何正在重置文件夹权限的东西)。
此外,自从CryptoAPI成为下一代encryption技术以来,只是一个念头 – 私钥的位置发生了变化,因此您可能还想检查ProgramData文件夹的权限更改。
您可以直接通过证书MMC获得证书的私钥权限,所以如果您pipe理私钥的权限,a)您将会看到正确的密钥*,并且b)您可能会得到关于导致问题的提示。
*实际里程可能会更大