403.7 IIS 7.5 SSL客户端证书认证问题

上次我检查时，IIS（默认情况下）正在使用重新协商来获取客户端证书：有第一个握手，在这个握手中服务器不请求客户端证书，然后是另一个握手（此时加密），在这个握手中服务器通过 TLS CertificateRequest 消息请求证书。这将防止您从Wireshark中看到任何内容，除非您配置它 使用服务器的私钥解密流量（请注意，这仅适用于某些密码套件）。
一种查看客户端证书协商的方法是使用 netsh和clientcertnegotiation=true 配置IIS使用初始客户端证书协商（这是关于初始协商）。至少在握手期间，CertificateRequest 和证书将以明文形式发送，因此您应该能够使用Wireshark看到这一点。 如果客户端没有响应CertificateRequest向服务器发送证书，则您仍将从客户端看到一个空的Certificate消息。
如果您不将私钥与证书一起导出以供Fiddler或其他客户端使用，则它将无法使用该证书。最多只能尝试发送证书，但握手将失败（因为需要使用客户端的私钥对CertificateVerify消息进行签名）。 我猜您可能会遇到以下问题： 服务器接受不呈现证书（实际上是可选的）， 呈现无效证书会导致失败并导致403.7状态代码（许多服务器和SSL / TLS堆栈将其实现为致命错误，但TLS specification没有说unsupported_certificate，certificate_revoked，certificate_expired，certificate_unknown应该是致命的，因此这取决于服务器）。

您是否使用同一台物理机来测试内部网络和外部网络连接？如果不是，您确定外部网络客户端可以访问私钥吗？

我以前没有配置过Fiddler客户端身份验证。它是否从标准证书存储中读取客户端证书和密钥？还是直接从PKCS12中读取？

另一个可能有帮助的事情是在WireShark中检查TLS握手。具体来说，请查看服务器的“证书请求”消息，因为此处的数据提示客户端（IE9）应在提示中显示哪些客户端证书。比较内部和外部连接的差异。