it-swarm.com.de

ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED in Google Chrome

Ich habe eine Website, die die SSL-Client-Zertifikatsautorisierung verwendet. Alle Client-Zertifikate werden mit OpenSSL generiert und sind selbstsigniert. Alles funktionierte mit allen Webbrowsern, aber es wurde empfohlen, Google Chrome zu verwenden, da es dasselbe SSL-Warehouse wie der IE verwendet. Die Installation des Zertifikats war also recht einfach (klicken Sie auf das Kennwort, fertig!) Nach dem letzten Update von Google "Chrome 29.0.1547.57 m" Niemand kann auf meinen Webserver zugreifen, auch nicht auf mich . Nur Google Chrome-Fehler! IE und FF funktionieren einwandfrei . Fehler: ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED. Gleiches Serverfehlerprotokoll . Haben Sie Vorschläge? Das Problem ist, dass ein Großteil der Kunden mit PCs nicht vertraut ist und sich in dieser Situation sehr verängstigt hat. Telefonsupport-Jungs stehen also unter der Welle der Anrufe.

12
Alexey

Dasselbe gilt für Windows7-Clientsysteme, die sich nicht mit Clientzertifikaten bei einigen unserer Systeme authentifizieren können, bei anderen jedoch nicht. Auf den betroffenen Servern wird Apache Tomcat ausgeführt, während auf den nicht betroffenen Systemen IIS7 ausgeführt wird. Ich zögere jedoch, diesen Unterschied als Schuldigen zu erkennen.

Wer sieht das sonst noch?

EDIT:

Ich bin in der Lage, das Problem zu beseitigen, indem TLSv1.2 deaktiviert wird auf dem Server. Kann jemand anderes diese Erfahrung wiederholen?

Ich wäre auch interessiert zu wissen, ob jemand anderes dies auf etwas anderem als der Windows-Plattform sieht, da dies der einzige Ort ist, an dem es hier passiert (dieselbe Version von OSX hat keine Probleme).

EDIT2:

Chrome-Fehlerbericht hier: https://code.google.com/p/chromium/issues/detail?id=278370

EDIT3:

Sollte in neuestem Chrome-Stable wieder funktionieren. Chrome 30 wird eine robustere Lösung haben, aber 29.x sollte jetzt auch funktionieren.

4
Sean Baker

Wir haben das gleiche Problem. Wie Sean berichtet hat, scheint es, dass Chrome unter Windows XP TLSv1.2 aushandelt, obwohl das Betriebssystem SHA-2 (z. B. SHA-256 oder SHA-384) Hash-Funktion nicht unterstützt.

Wir haben festgestellt, dass Chrome fehlschlägt, wenn es nach SERVER HELLO ..__ "Client-Zertifikatsanforderung" erhält. SERVER HELLO verhandelt RC4-SHA1 (in unserer Umgebung), was erfolgreich sein sollte. Das problematische Paket .__ scheint die "Client-Zertifikatanforderung" zu sein, die SHA-2-Funktionen (sowie SHA1-Funktionen) für Hashes enthält.

Beim Aufrufen von Chrome mit "--enable-logging --log-level = 0" wird folgende Meldung ausgegeben: ERROR: nss_ssl_util.cc (193)] ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED: NSS-Fehler -12222, OS-Fehler -2146893816

Dies ist ein Betriebssystemfehler, der "NTE_BAD_ALGID" für die CryptSignHash-Funktion entspricht: http://msdn.Microsoft.com/en-us/library/windows/desktop/aa380280(v=vs.85).aspx

Das Deaktivieren von TLSv1.2 auf dem Server sollte das Problem beheben. Aber ich denke, Chrome sollte SHA1 unter Windows XP bevorzugen.

7
ymmt2005

Das Problem wird dadurch verursacht, dass Chrome TLSv1.2 unter Windows XP ausführt.

Dies kann sowohl serverseitig als auch clientseitig deaktiviert werden.

Um Chrome mit einer niedrigeren Version von TLS auszuführen, starten Sie es mit der Befehlszeilenoption --ssl-version-max = tls1.1

0
Synck

Es ist eine Kombination aus Win XP und Google Chrome 29.0.1547.57 m .__ Bei Windows 7/8 tritt dieses Problem nicht auf.

Sie könnten eine ältere Version 28.0.1500.95 installieren http://www.filehippo.com/download_google_chrome/15657/

Einstellungen zum Deaktivieren der Aktualisierung sind jedoch nicht so einfach . http://dev.chromium.org/administrators/turning-off-auto-updates

0
milang

Ich hatte dieses Problem. Das Verbinden von Chrome mit WebSockets mit Apache warf proxy_wstunnel_module.

Meine Lösung war die Konfiguration von httpd.conf

ProxyPass /wss2/ ws://127.0.0.1:8080/  retry=0 keepalive=On
ProxyPassReverse /wss2/ ws://127.0.0.1:8080/  retry=0 
    <Location /wss2/>
        SSLRequireSSL On
        SSLVerifyClient none
        SSLVerifyDepth 1
        SSLOptions +StdEnvVars +StrictRequire
        SSLRenegBufferSize 10486000
    </Location>

Chrome WebSockets mag den Parameter SSLVerifyClient nicht optional

Ich hoffe das hilft.

0
lbolanos