我有一个需要客户端证书的IIS网站。 我已经closures了CRL检查。 客户端无法访问该网站 – 他得到403.17(证书过期)错误。
我想login他正在使用的证书,因为我认为他使用了错误的证书。
有没有办法做到这一点? 我可能无法使用WireShark,因为从客户端传递的客户端证书可能已经被encryption了。
我正在运行一个WIndows 2003服务器。
马特拉
不,您只能logging失败的身份validation中的响应代码。 没有办法确定从服务器端使用哪个证书。
更新我的问题:
您不能在SSI的反向代理场景中使用提琴手
您不能使用Microsoft SslDiag,因为它不logging过期的证书
所以唯一可行的select是使用WireShark
证书交换清楚; TLS跟踪明文数据,并在获得安全层之后,交换有关明文数据的信息,以确认它没有被篡改。
您可以使用wireshark捕获https会话; 客户端证书应该在Client Hello客户端之后的第一个数据包中。 (除非通过重新谈判完成)。