ssl server requires client certificate怎么解决？

因为SSL 服务器要求客户提供证书（包括SSL证书申请 IIS设置 配置 ）。

延展回答：

SSL 证书就是遵守 SSL协议的服务器数字证书，由受信任的证书颁发机构（CA机构），验证服务器身份后颁发，部署在服务器上，具有网站身份验证和加密传输双重功能。

SSL协议提供的服务主要有：

认证用户和服务器，确保数据发送到正确的客户机和服务器；

加密数据以防止数据中途被窃取；

维护数据的完整性，确保数据在传输过程中不被改变。

握手协议

SSL握手协议被封装在记录协议中，该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时，服务器与客户机交换一系列消息。

修改密文协议

为了保障SSL传输过程的安全性,客户端和服务器双方应该每隔一段时间改变加密规范。所以有了SSL修改密文协议。SSL修改密文协议是3个高层的特定协议之一,也是其中最简单的一个。在客服端和服务器完成握手协议之后,它需要向对方发送相关消息(该消息只包含一个值为1的单字节)，通知对方随后的数据将用刚刚协商的密码规范算法和关联的密钥处理，并负责协调本方模块按照协商的算法和密钥工作。

SSL为Windows server 2008 IIS7进行加密连接

关于SSL，在这篇文章里，我不在多说，我曾介绍过为Windows server 2003 IIS安装SSL。

运行“Internet 信息服务(IIS)管理器”，单击服务器名字：

双击中间栏内的“服务器证书”:

在“服务器证书”的右栏内单击“创建自签名证书”：

为创建的.自签名证书指定一个好记名称。

回到“Internet 信息服务(IIS)管理器”单击想要进行SSL加密连接的网站:

单击“绑定...",d出网站绑定对话框:

单击“添加...”按钮d出“添加网站绑定”对话框：

在对话框中的配置如上图。IP地址：选择你的服务器IP地址，SSL证书是刚才创建的“自签名证书”。

可以看到已绑定的网站：

打开浏览器，在地址栏内输入：https://192.168.0.117，当打开网站时会d出如下提示：客户端浏览器由于不能辨别证书的合法性，所以提出警告，并给出三个选择：

选择第二个选项。

再次提出安全警告，怀疑安全证书不可靠：

点击“确定”按钮，加密连接到IIS服务器:

这只是其中的一种方法。和Windows server 2003相比，配置要简单些，图形化界面。

1. windows 有一个默认组策略，如果SSL根证书在系统中不存在会向根服务器请求，请求的超时时间默认是15s.

2. 由于我们的根证书是自己生成的在系统中是不存在的,所以系统会向根服务器请求.

3. 为什么我们本地没有出现这个问题,因为我们本地是连接的上网络的所以不会有这个问题.如果本地只是简单的断网也不能复现这个问题,因为windows底层向根服务器同步证书是有时效性的,会隔一段时间才同步(具体配置在哪里没有去找).,本地断网后还要将机器时间调大(调大10年)就会复现这个问题.

1. 关闭外网连接:修改DNS服务器配置,将DNS服务器调整为一个不可达的地址

2. 修改机器时间:将机器时间调大10年

3. 使用客户端进行连接

方法1. 关闭系统组策略

    a. 命令行执行gpedit.msc

    b. 点开:计算机配置/管理模板/系统/Internet 通信管理/Internet 通信设置

c. 设置 关闭自动根证书更新 开启

方法2: 将根证书安装到客户端上

方法3: 使用非SSL进行通讯

方法4: 购买合法机构颁布的子证书

---