Почему IE показывает всплывающее окно сертификата, когда режим аутентификации в IIS анонимный?

У меня есть веб-сайт, развернутый на сервере IIS. Режим аутентификации установлен на анонимный: включен.

Когда я ввожу URL-адрес веб-сайта и нажимаю кнопку ввода, IE показывает мне всплывающее окно сертификата с просьбой выбрать сертификат. Почему это могло произойти?

Браузер запрашивает сертификат, поскольку сервер отправил сообщение запроса сертификата во время рукопожатия TLS.

Обычно в рамках этого он отправляет список отличительных имен ЦС, сертификаты которых он будет принимать для аутентификации. Этот список в основном означает "отправьте мне сертификат проверки подлинности клиента, выданный одним из этих ЦС". Если он не отправляет список, клиент может отправить любой имеющийся у него сертификат аутентификации клиента, которому сервер может не доверять. Это просто увеличило бы рабочую нагрузку/разочарование оператора, которому пришлось бы решать (догадываться?), какой сертификат выбрать.

Следовательно, вы видите три сертификата либо потому, что в вашем браузере установлено только три сертификата проверки подлинности клиента, а список пуст; или в вашем браузере установлено более трех клиентских сертификатов аутентификации, и список, отправленный сервером, ограничивает их выбор.

Подробности в RFC 5246, раздел 7.4.4.

Параметр запроса сертификата у клиента настроен на сервере, поэтому вы видите это всплывающее окно, поскольку сервер настроен на запрос сертификата клиента.

Помните, что это происходит до того, как поток HTTP-трафика, поэтому настройка таких вещей, как Анонимная аутентификация в IIS это не повлияет, поскольку это связано с тем, как пользователь аутентифицируется через HTTP (нет, Kerberos, имя пользователя/пароль и т. д.) после настройки сеанса TLS.

Большинство веб-серверов можно настроить с разными настройками для разных схем (http и https), разных портов (443 и 8443), разных DNS-имен (www.example.org vs app.example.org) или даже разные виртуальные каталоги (/ vs /myapp). Именно на этом уровне находится параметр запроса аутентификации клиента.

В IIS клиентская аутентификация настроена под Настройки SSL страница. Требовать SSL устанавливает, используется ли HTTPS (идентификация сервера и шифрование), а также три параметра в разделе Сертификаты клиентов определите, будет ли браузер отправлять сертификат проверки подлинности клиента или нет (вы не можете иметь последнее без первого, поскольку проверка подлинности клиента является частью TLS (или SSL)). есть другой Настройки SSL страница для каждого сайта и для каждого виртуального каталога на сайте. Если вы не хотите, чтобы сервер запрашивал клиентские сертификаты, установите для этого параметра значение Игнорировать во всех них.