Informations sur l’outil de diagnostic SSL IIS pour SDP

Cet article décrit les informations collectées à partir d’un ordinateur lorsque vous exécutez le diagnostic SSL (Secure Sockets Layer) de Microsoft Internet Information Services (IIS) sur un ordinateur rencontrant des problèmes lors de la navigation sur des sites Web exécutés via SSL.

Version du produit d’origine :   Services Internet (IIS)
Numéro de la base de connaissances initiale :   2753695

Résumé

L’outil de diagnostic IIS SSL pour le support de diagnostic Platform (SDP) est conçu pour résoudre les problèmes liés à SSL sur IIS et collecte des informations utilisées pour la résolution des problèmes SSL courants. Ce diagnostic permet également à l’utilisateur de capturer un journal de suivi ETW (Event Tracing for Windows) pour les fournisseurs de services Internet (SChannel) et de canal sécurisé (SChannel).

Système d’exploitation

Description
Nom de l'ordinateur
OS Name
Créer
Fuseau horaire/décalage
Dernier redémarrage/temps de fonctionnement
Contrôle de compte d’utilisateur
Nom d’utilisateur

Système informatique

Description
Modèle d’ordinateur
Processeur (s)
Domaine de l’ordinateur
Role
RAM (physique)

Sortie certutil

Description Nom de fichier
Ce fichier contiendra le résultat de l’exécution de la commande certutil-Verify Store sur l’empreinte du certificat affecté à chaque liaison sur le site Web. {Nom_ordinateur} _CERTUTIL_VERFIYSTORE_CERT (n). TXT
Ce fichier contient le vidage du cache d’URL de liste de révocation de certificats du système d’exploitation (obtenu en exécutant la commande certutil-URL cache CRL) {Nom_ordinateur} _CERTUTIL_CRL_CACHE.TXT

Fichiers journaux des événements

Description Nom de fichier
Journal des événements d’application {ComputerName} _evt_Application. evtx
Journal des événements système {ComputerName} _evt_System. evtx
Journal des événements de sécurité {ComputerName} _evt_Security. evtx

Configuration IIS

Description Nom de fichier
Fichiers de configuration IIS/ASP. NET {Nom_ordinateur} _IISConfiguration.zip

Fichiers journaux IIS

Description Nom de fichier
Si, lors de l’exécution, l’option permettant de collecter les suivis ETW est sélectionnée, ce fichier contiendra le suivi ETW, qui active plusieurs fournisseurs IIS et SCHANNEL. {Nom_ordinateur} _IISSSLETWLOGFILES.zip
Description Nom de fichier
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HTTP {Nom_ordinateur} _REG_SERVICES_HTTP.TXT
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL {Nom_ordinateur} _REG_SCHANNEL.TXT
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults {Nom_ordinateur} _REG_CRYPTOGRAPHY.TXT

Mises à jour/correctifs installés

Description Nom de fichier
Historique des mises à jour/correctifs {Nom_ordinateur} _Hotfixes.CSV
Historique des mises à jour/correctifs {Nom_ordinateur} _Hotfixes.htm
Historique des mises à jour/correctifs {Nom_ordinateur} _Hotfixes.TXT

Informations réseau

Description Nom de fichier
Informations de base sur TCP/IP {Nom_ordinateur} _TcpIp-Info.txt
Informations de base sur SMB {Nom_ordinateur} _SMB-Info.txt

Rapport de paramètres SSL

Description Nom de fichier
Ce fichier contient des informations sur les différents paramètres de la métabase qui sont pertinents pour le dépannage des problèmes SSL, par exemple AccessSSLFlags, AccessSSL, AccessSSLNegotiateCert, AccessSSLRequireCert, le mappage de certificat client IIS, l’authentification de certificat client AD.

Il répertorie également l’état des services IIS et fournit des détails sur chaque liaison sécurisée configurée sur le site Web, en indiquant les détails du certificat qui lui est lié.

Par ailleurs, si l’un des protocoles liés à SSL est désactivé sur le serveur, ce fichier contient des informations les concernant.

Si la stratégie de modification de l’ordre des suites de chiffrement, l’ordre spécifié est également indiqué dans ce fichier.
{Nom_ordinateur} _SSLReport.htm

Informations sur la virtualisation

Description Nom de fichier
Informations sur la virtualisation de l’ordinateur au format HTM {Nom_ordinateur} _Virtualization.htm
Informations sur la virtualisation de l’ordinateur au format TXT {Nom_ordinateur} _Virtualization.txt

Plus d’informations

Si l’utilisateur choisit de collecter un journal ETW IIS, le diagnostic active le suivi ETW IIS nommé suivi SDP IIS ETW. Le diagnostic arrête automatiquement ce suivi lorsque l’utilisateur clique sur Next lorsque le suivi est en cours d’exécution. Si l’utilisateur clique sur Annuler, il doit arrêter le suivi à l’aide de la commande suivante à partir d’une invite de commandes d’administration :

logman.exe stop "IIS ETW SDP Trace" -ets

Outre les informations collectées figurant dans ces tableaux, cet utilitaire de résolution des problèmes peut détecter une ou plusieurs des situations suivantes :

  • Services liés à IIS dans un État en cours d’exécution.

  • Indique si le site contient une liaison SSL ou non.

  • Indique si HTTP.SYS est à l’écoute sur le port de liaison SSL ou si le port est occupé par un autre exécutable.

  • Indique si le site Web dispose d’un certificat affecté à la liaison sécurisée.

  • Indique si le site Web est dans un état de démarrage ou non.

  • Si l’authentification de certificat client Active Directory est activée et si le DsMapperUsage paramètre sur la liaison correspond à celui du site.

  • Si l’authentification de certificat client Active Directory est activée mais sur le site Web, nous n’avons pas besoin ou n’acceptent pas les certificats clients.

  • Autorisations sur le dossier des clés de l’ordinateur.

  • Indique si le format de liaison spécifié dans les liaisons de site Web est correct ou non.

  • Si la liste d’inclusions IP (Internet Protocol) est configurée sur le serveur et si l’adresse IP configurée sur la liaison de site Web n’est pas présente dans la liste d’inclusions IP.

  • Indique si le type de certificat est correct ou non (les rôles prévus indiquent l’authentification du serveur).

  • Si le certificat est archivé.

  • Si la clé privée est manquante dans le certificat.

  • Incorrect Key-Spec (c’est-à-dire, si le certificat a une autre KEYSPEC définition autre que AT_EXCHANGE ).

  • Si le certificat possède un autre nom de sujet, un message d’information s’affiche.

  • Si le certificat a un autre nom de l’objet, toutes les liaisons d’autres sites Web sont vérifiées pour déterminer si elles correspondent à la combinaison de liaison et de ports ou non et, si c’est le cas, nous faisons correspondre si la liaison a le même certificat ou non et que les en-têtes d’hôte ne correspondent pas.
    Si le certificat comporte un caractère générique, un message d’information s’affiche.

  • Si le certificat comporte des caractères génériques, toutes les liaisons d’autres sites Web sont vérifiées pour déterminer s’ils correspondent à la combinaison de liaison et de port ou non et, si c’est le cas, nous faisons correspondre si la liaison a le même certificat ou non et que les en-têtes d’hôte ne correspondent pas.

  • Si la validation du certificat de serveur réussit.

  • Vérifie si le certificat a expiré.

  • Si l’un des protocoles SSL est désactivé sur le serveur.

  • Si l’ordre des suites de chiffrement a été modifié sur le serveur.

  • Vérifiez si les clés du certificat ont une longueur inférieure à 1024 bits.

  • Si MS12-006 est installé sur l’ordinateur.