Informations sur l’outil de diagnostic IIS SSL pour SDP
Cet article décrit les informations collectées à partir d’un ordinateur lorsque vous exécutez le diagnostic SSL (Secure Sockets Layer) Microsoft Internet Information Services (IIS) sur un ordinateur qui rencontre des problèmes lors de la navigation vers des sites web s’exécutant via SSL.
Version du produit d’origine : Internet Information Services
Numéro de la base de connaissances d’origine : 2753695
Résumé
L’outil de diagnostic SSL IIS pour la plateforme de diagnostic de prise en charge (SDP) est conçu pour résoudre les problèmes SSL sur IIS et collecte les informations utilisées pour résoudre les problèmes SSL courants. Ce diagnostic permet également à l’utilisateur de capturer un journal de suivi d’événements pour Windows (ETW) pour les fournisseurs IIS et Schannel (Secure Channel).
Système d’exploitation
Description |
---|
Nom de l'ordinateur |
OS Name |
Build |
Fuseau horaire/décalage |
Dernier redémarrage/durée de fonctionnement |
Contrôle de compte d’utilisateur |
Nom d’utilisateur |
Système informatique
Description |
---|
Modèle d’ordinateur |
Processeur(s) |
Domaine de l’ordinateur |
Role |
RAM (physique) |
Sortie Certutil
Description | Nom de fichier |
---|---|
Ce fichier contient la sortie de l’exécution de la commande certutil -verify store sur l’empreinte numérique du certificat affecté à chaque liaison sur le site web | {Computername}_CERTUTIL_VERFIYSTORE_CERT(n).TXT |
Ce fichier contient des vidages du cache d’URL de liste de révocation de certificats du système d’exploitation (obtenu en exécutant la commande certutil -url cache CRL) | {Computername}_CERTUTIL_CRL_CACHE.TXT |
Fichiers journaux des événements
Description | Nom de fichier |
---|---|
Journal des événements des applications | {Computername}_evt_Application.evtx |
Journal des événements système | {Computername}_evt_System.evtx |
Journal des événements de sécurité | {Computername}_evt_Security.evtx |
Configuration IIS
Description | Nom de fichier |
---|---|
Fichiers de configuration IIS/ASP.NET | {Computername}_IISConfiguration.zip |
Fichiers journaux IIS
Description | Nom de fichier |
---|---|
Si, lors de l’exécution, l’option de collecte des traces ETW est sélectionnée, ce fichier contient la trace ETW, ce qui active différents fournisseurs IIS et SCHANNEL | {Computername}_IISSSLETWLOGFILES.zip |
Paramètre de Registre lié à IIS-SSL
Description | Nom de fichier |
---|---|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP |
{Computername}_REG_SERVICES_HTTP.TXT |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL |
{Computername}_REG_SCHANNEL.TXT |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults |
{Computername}_REG_CRYPTOGRAPHY.TXT |
Mises à jour/correctifs logiciels installés
Description | Nom de fichier |
---|---|
Historique des mises à jour/correctifs | {Computername}_Hotfixes.CSV |
Historique des mises à jour/correctifs | {Computername}_Hotfixes.htm |
Historique des mises à jour/correctifs | {Computername}_Hotfixes.TXT |
Informations réseau
Description | Nom de fichier |
---|---|
Informations de base sur TCP/IP | {Computername}_TcpIp-Info.txt |
Informations de base sur SMB | {Computername}_SMB-Info.txt |
Rapport sur les paramètres SSL
Description | Nom de fichier |
---|---|
Ce fichier contient des informations sur différents paramètres de métabase qui sont pertinents pour la résolution des problèmes SSL, par exemple AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS Client Certificate Mapping, AD Client Certificate Authentication. Il répertorie également les status des services IIS et fournit des détails sur chaque liaison sécurisée configurée sur le site web en affichant les détails du certificat qui lui est lié. De même, si l’un des protocoles ssl est désactivé sur le serveur, ce fichier contient des informations les concernant. Si la stratégie de modification de l’ordre des suites de chiffrement est définie, l’ordre spécifié s’affiche également dans ce fichier. |
{Computername}_SSLReport.htm |
Informations sur la virtualisation
Description | Nom de fichier |
---|---|
Informations sur la virtualisation de machine au format HTM | {Computername}_Virtualization.htm |
Informations de virtualisation de machine au format TXT | {Computername}_Virtualization.txt |
Informations supplémentaires
Si l’utilisateur choisit de collecter un journal ETW IIS, le diagnostic active la trace IIS ETW nommée TRACE SDP IIS ETW. Le diagnostic arrête automatiquement cette trace lorsque l’utilisateur clique sur Suivant pendant l’exécution de la trace. Si l’utilisateur clique sur Annuler, il doit arrêter la trace avec la commande suivante à partir d’une invite de commandes d’administration :
logman.exe stop "IIS ETW SDP Trace" -ets
Outre les informations collectées répertoriées dans ces tableaux, cet utilitaire de résolution des problèmes peut détecter une ou plusieurs des situations suivantes :
Services liés à IIS dans un état en cours d’exécution ou non.
Indique si le site contient une liaison SSL ou non.
Indique si HTTP.SYS écoute sur le port de liaison SSL ou si le port est occupé par un autre exécutable.
Indique si un certificat est affecté au site web à la liaison sécurisée.
Indique si le site web est dans un état démarré ou non.
Si l’authentification par certificat client Active Directory est activée et si le
DsMapperUsage
paramètre sur la liaison correspond à celui du site.Si l’authentification par certificat client Active Directory est activée mais sur le site web, nous n’exigeons pas ou n’acceptons pas les certificats clients.
Autorisations sur le dossier des clés de l’ordinateur.
Indique si le format de liaison spécifié dans les liaisons de site web est correct ou non.
Si la liste d’inclusion IP (Internet Protocol) est configurée sur le serveur et si l’adresse IP configurée sur la liaison de site web n’est pas présente dans la liste d’inclusion IP.
Indique si le type de certificat est correct ou non (autrement dit, Usage prévu indique Authentification du serveur).
Si le certificat est archivé.
Si le certificat est manquant, la clé privée.
Incorrect
Key-Spec
(autrement dit, si le certificat a un autreKEYSPEC
défini queAT_EXCHANGE
).Si le certificat a un autre nom d’objet, un message d’information s’affiche.
Si le certificat a un autre nom d’objet, toutes les liaisons d’autres sites web sont vérifiées pour voir si elles correspondent ou non à la combinaison de liaison et de port et si c’est le cas, nous faisons correspondre si la liaison a le même certificat ou non et que les en-têtes de l’hôte ne correspondent pas.
Si le certificat comporte un caractère générique, un message d’information s’affiche.Si le certificat a un caractère générique, toutes les liaisons d’autres sites web sont vérifiées pour voir si elles correspondent ou non à la combinaison de liaison et de port et si c’est le cas, nous faisons correspondre si la liaison a le même certificat ou non et que les en-têtes de l’hôte ne correspondent pas.
Indique si la validation du certificat de serveur réussit.
Vérifie si le certificat a expiré.
Indique si l’un des protocoles SSL est désactivé sur le serveur.
Indique si l’ordre des suites de chiffrement a été modifié sur le serveur.
Vérifiez si l’une des clés du certificat a une longueur inférieure à 1 024 bits.
Si MS12-006 est installé sur l’ordinateur.