环境: Windows Server 2012 R2 Tomcat 8.0.45
大约一个月前,我们配置了一个Web应用程序(在Tomcat上运行)以使用智能卡进行身份验证。一切对我们所有人都很好。
大约两周前,发现某些用户无法再通过SSO成功进行身份验证。到目前为止(与受影响的用户)唯一的共同点是他们的智能卡都具有SHA1证书。可以成功进行身份验证的用户具有SHA256证书。所有服务器证书均为SHA256。
受影响的用户尽管具有SHA1证书,仍然可以通过任何其他需要智能卡身份验证的服务器进行身份验证。该问题仅在具有SHA1证书的用户智能卡的一台特定服务器上出现。
PKI身份验证配置没有更改(它没有太多-一个jar和一个配置文件)。 JAVA尚未更新或更改。 服务器端是一个盲点。我们认为它最近没有被修补/更新;但是,安全团队可能在未通知任何人的情况下推出了未经测试的新策略(对他们来说是一种普遍做法),因此他们对查询没有反应。
Windows中是否有一些GPO /安全性设置可能已被推出以阻止SHA1客户端证书?时间似乎与最近的Win1709更新相吻合,但是如果它是客户端,我希望它会影响所有服务器。
当前状态:真实而困惑……感谢所有建议。
-TS