Informations sur l’outil de diagnostic IIS SSL pour SDP

Article
01/29/2023

Cet article décrit les informations collectées à partir d’un ordinateur lorsque vous exécutez le diagnostic SSL (Secure Sockets Layer) Microsoft Internet Information Services (IIS) sur un ordinateur qui rencontre des problèmes lors de la navigation vers des sites web s’exécutant via SSL.

Version du produit d’origine : Internet Information Services
Numéro de la base de connaissances d’origine : 2753695

Résumé

L’outil de diagnostic SSL IIS pour la plateforme de diagnostic de prise en charge (SDP) est conçu pour résoudre les problèmes SSL sur IIS et collecte les informations utilisées pour résoudre les problèmes SSL courants. Ce diagnostic permet également à l’utilisateur de capturer un journal de suivi d’événements pour Windows (ETW) pour les fournisseurs IIS et Schannel (Secure Channel).

Système d’exploitation

Description
Nom de l'ordinateur
OS Name
Build
Fuseau horaire/décalage
Dernier redémarrage/durée de fonctionnement
Contrôle de compte d’utilisateur
Nom d’utilisateur

Système informatique

Description
Modèle d’ordinateur
Processeur(s)
Domaine de l’ordinateur
Role
RAM (physique)

Sortie Certutil

Description	Nom de fichier
Ce fichier contient la sortie de l’exécution de la commande certutil -verify store sur l’empreinte numérique du certificat affecté à chaque liaison sur le site web	{Computername}_CERTUTIL_VERFIYSTORE_CERT(n).TXT
Ce fichier contient des vidages du cache d’URL de liste de révocation de certificats du système d’exploitation (obtenu en exécutant la commande certutil -url cache CRL)	{Computername}_CERTUTIL_CRL_CACHE.TXT

Fichiers journaux des événements

Description	Nom de fichier
Journal des événements des applications	{Computername}_evt_Application.evtx
Journal des événements système	{Computername}_evt_System.evtx
Journal des événements de sécurité	{Computername}_evt_Security.evtx

Configuration IIS

Description	Nom de fichier
Fichiers de configuration IIS/ASP.NET	{Computername}_IISConfiguration.zip

Fichiers journaux IIS

Description	Nom de fichier
Si, lors de l’exécution, l’option de collecte des traces ETW est sélectionnée, ce fichier contient la trace ETW, ce qui active différents fournisseurs IIS et SCHANNEL	{Computername}_IISSSLETWLOGFILES.zip

Description	Nom de fichier
`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP`	{Computername}_REG_SERVICES_HTTP.TXT
`HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL`	{Computername}_REG_SCHANNEL.TXT
`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults`	{Computername}_REG_CRYPTOGRAPHY.TXT

Mises à jour/correctifs logiciels installés

Description	Nom de fichier
Historique des mises à jour/correctifs	{Computername}_Hotfixes.CSV
Historique des mises à jour/correctifs	{Computername}_Hotfixes.htm
Historique des mises à jour/correctifs	{Computername}_Hotfixes.TXT

Informations réseau

Description	Nom de fichier
Informations de base sur TCP/IP	{Computername}_TcpIp-Info.txt
Informations de base sur SMB	{Computername}_SMB-Info.txt

Rapport sur les paramètres SSL

Description	Nom de fichier
Ce fichier contient des informations sur différents paramètres de métabase qui sont pertinents pour la résolution des problèmes SSL, par exemple AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS Client Certificate Mapping, AD Client Certificate Authentication. Il répertorie également les status des services IIS et fournit des détails sur chaque liaison sécurisée configurée sur le site web en affichant les détails du certificat qui lui est lié. De même, si l’un des protocoles ssl est désactivé sur le serveur, ce fichier contient des informations les concernant. Si la stratégie de modification de l’ordre des suites de chiffrement est définie, l’ordre spécifié s’affiche également dans ce fichier.	{Computername}_SSLReport.htm

Description

Nom de fichier

Ce fichier contient des informations sur différents paramètres de métabase qui sont pertinents pour la résolution des problèmes SSL, par exemple AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, IIS Client Certificate Mapping, AD Client Certificate Authentication.

Il répertorie également les status des services IIS et fournit des détails sur chaque liaison sécurisée configurée sur le site web en affichant les détails du certificat qui lui est lié.

De même, si l’un des protocoles ssl est désactivé sur le serveur, ce fichier contient des informations les concernant.

Si la stratégie de modification de l’ordre des suites de chiffrement est définie, l’ordre spécifié s’affiche également dans ce fichier.

{Computername}_SSLReport.htm

Informations sur la virtualisation

Description	Nom de fichier
Informations sur la virtualisation de machine au format HTM	{Computername}_Virtualization.htm
Informations de virtualisation de machine au format TXT	{Computername}_Virtualization.txt

Informations supplémentaires

Si l’utilisateur choisit de collecter un journal ETW IIS, le diagnostic active la trace IIS ETW nommée TRACE SDP IIS ETW. Le diagnostic arrête automatiquement cette trace lorsque l’utilisateur clique sur Suivant pendant l’exécution de la trace. Si l’utilisateur clique sur Annuler, il doit arrêter la trace avec la commande suivante à partir d’une invite de commandes d’administration :

logman.exe stop "IIS ETW SDP Trace" -ets

Outre les informations collectées répertoriées dans ces tableaux, cet utilitaire de résolution des problèmes peut détecter une ou plusieurs des situations suivantes :

Services liés à IIS dans un état en cours d’exécution ou non.
Indique si le site contient une liaison SSL ou non.
Indique si HTTP.SYS écoute sur le port de liaison SSL ou si le port est occupé par un autre exécutable.
Indique si un certificat est affecté au site web à la liaison sécurisée.
Indique si le site web est dans un état démarré ou non.
Si l’authentification par certificat client Active Directory est activée et si le DsMapperUsage paramètre sur la liaison correspond à celui du site.
Si l’authentification par certificat client Active Directory est activée mais sur le site web, nous n’exigeons pas ou n’acceptons pas les certificats clients.
Autorisations sur le dossier des clés de l’ordinateur.
Indique si le format de liaison spécifié dans les liaisons de site web est correct ou non.
Si la liste d’inclusion IP (Internet Protocol) est configurée sur le serveur et si l’adresse IP configurée sur la liaison de site web n’est pas présente dans la liste d’inclusion IP.
Indique si le type de certificat est correct ou non (autrement dit, Usage prévu indique Authentification du serveur).
Si le certificat est archivé.
Si le certificat est manquant, la clé privée.
Incorrect Key-Spec (autrement dit, si le certificat a un autre KEYSPEC défini que AT_EXCHANGE).
Si le certificat a un autre nom d’objet, un message d’information s’affiche.
Si le certificat a un autre nom d’objet, toutes les liaisons d’autres sites web sont vérifiées pour voir si elles correspondent ou non à la combinaison de liaison et de port et si c’est le cas, nous faisons correspondre si la liaison a le même certificat ou non et que les en-têtes de l’hôte ne correspondent pas.
Si le certificat comporte un caractère générique, un message d’information s’affiche.
Si le certificat a un caractère générique, toutes les liaisons d’autres sites web sont vérifiées pour voir si elles correspondent ou non à la combinaison de liaison et de port et si c’est le cas, nous faisons correspondre si la liaison a le même certificat ou non et que les en-têtes de l’hôte ne correspondent pas.
Indique si la validation du certificat de serveur réussit.
Vérifie si le certificat a expiré.
Indique si l’un des protocoles SSL est désactivé sur le serveur.
Indique si l’ordre des suites de chiffrement a été modifié sur le serveur.
Vérifiez si l’une des clés du certificat a une longueur inférieure à 1 024 bits.
Si MS12-006 est installé sur l’ordinateur.