SSL Bridging fout 413

Pagina: 1
Acties:

  • relaxteb
  • Registratie: April 2002
  • Laatst online: 16-02 20:12
Hoi

Wij hebben een probleem met het publishen van een ssl website door ISA.
De site bestaat uit een webservice en is beveiligd dmv client certificates en SSL.

Een gewone (test)pagina oproepen vanaf de webclient lukt zonder problemen, echter een SOAP call naar de webservice resulteert in HTTP fout 413.
Er wordt bij deze call geprobeert een bestand te versturen.
Echter is dit bestand waarschijnlijk te groot. Zie : http://www.microsoft.com/...36-8ac7-6b2ca03fd383.mspx

We hebben dus op de webserver het volgende uitgevoerd :
cscript adsutil.vbs set w3svc/1/uploadreadaheadsize 10000.

Dit betekend dat de maximale size omhoog gezet is naar 10.000 Kbytes.

Echter leverde dit geen oplossing op, dus ik vermoed dat er in de ISA publishing ook een limiet actief is. Want als wij direct op de webserver testen dan hebben we geen probleem.


Omdat we geen simpele setup hebben hier even kort een overzicht :

WEBSERVER<----->Pix506<---->ISA<------->WEBCLIENT

De Webserver is geïnstalleerd met Windows 2003 standard + all latest servicepacks
De ISA server is Geïnstalleerd met Windows 2003 standard + ISA 2000 + all latest servicepacks
De Webclient is een Windows 2000 server + all latest servicepacks

De pix laat http(s) verkeer toe en forward het naar de ISA server.
De forward het op zijn beurt weer naar de webserver.

We hebben 2 Certification Authorities : X & Y

We trusten de Root Certificate op de WEBSERVER van authority X
We trusten de Root Certificate op de WEBSERVER van authority Y om de client Certificaten van Y toe te staan

Uiteraard een SSL Certificate voor de WEBSERVER : webservice.x.nl

We trusten de Root Certificate op de WEBCLIENT van authority X zodat de ssl connectie kan slagen

We hebben de volgende tutorial gevolgd http://www.isaserver.org/...iguring_SSL_Bridging.html


Wie kent dit probleem en weet wat ik moet aanpassen (op onze isa server) ?

  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50
hier wordt gesproken over 2 andere variabelen die je mogelijk moet aanpassen:

http://groups.google.com/...&rnum=12#850b4f873fc4c27c

"we did it by increasing the "UploadReadAheadSize" and "AspBufferLimit"
size. I didn't know about the "SSLAlwaysNegoClientCert" variable but it seems to
be a new path to follow when dealing with this kind of problems"

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|


  • relaxteb
  • Registratie: April 2002
  • Laatst online: 16-02 20:12
Hoi Paul

We hebben de 3 settings aangepast met de IIS Metabase explorer (in de iisresourcekit).
UploadReadAheadSize
AspBufferingLimit
SslAlwaysNegotiate

Inderdaad het werkt nu wel. Wat ik nog wel vreemd vind is dat we geen problemen hadden met een directe client maar wel als ISA er tussen stond. Ik denk dat dit zit in het anders afhandelen van de SSL handshake, maar zeker weten doe ik het niet.

Ook fijn om te weten dat er dus een bug in IIS5 zat welke is opgelost (en dus problemen veroorzaakt) in IIS 6.