Actualmente estamos desarrollando un KSP (Proveedor de almacenamiento de claves) personalizado para un Sistema de almacenamiento de claves. Desarrollamos con éxito un proveedor de CSP (CryptoAPI) y KSP (CryptoNG), y ambos funcionan realmente bien para firmas digitales y SSL en Outlook, Google Chrome, Microsoft Office, Java Applets y cualquier otra aplicación que hayamos probado.
Sin embargo, estamos teniendo problemas con Internet Explorer 11 (última versión), cuando intentamos utilizar el certificado asociado con nuestro CSP / KSP para la autenticación SSL del cliente. El certificado aparece en la Lista de Windows predeterminada, sin embargo, después de seleccionarla, la página simplemente no se carga.
En el registro de eventos, hay un evento de Error de Schannel con ID 36870 y el siguiente mensaje:
Se produjo un error grave al intentar acceder al cliente SSL credencial de clave privada. El código de error devuelto desde el criptográfico. El módulo es 0x8009030D.
He buscado en Internet y he encontrado muchos problemas relacionados con los problemas de permisos de los archivos de la clave del proveedor de Microsoft, principalmente con respuestas a las claves del SERVIDOR y no a las CLIENTES, que tienen códigos de error similares pero no son el mismo problema.
Tenga en cuenta también que el problema es con un KSP personalizado, no implementaciones de software de Microsoft por defecto.
Algunos datos adicionales que pueden ser relevantes:
- El KSP debería estar escribiendo algunos registros en la carpeta del usuario justo después de que se haya cargado. Pero eso no parece funcionar, no hay registros. No estoy seguro de si no se está cargando o simplemente no puedo escribir cosas en el sistema. También debe leer un archivo de configuración desde la misma ubicación.
- El KSP debería mostrar diálogos y también usar Internet (servicios web), pero eso tampoco sucede. Tal vez alguna restricción de seguridad de IE en las DLL cargadas (después de todo, una CSP / KSP es una DLL que está cargada) sobre la que no he podido encontrar ninguna documentación?
- El KSP está firmado con un certificado de firma de software reconocido por Windows; Y como se mencionó, el sistema de Windows reconoce y funciona bien usando cualquier otro software de Windows excepto IE.
- Recuerde que funciona con cualquier otro software que hayamos probado, incluidos los de Microsoft. También puedo hacer la depuración utilizando Visual Studio adjunto a otro software, pero no funciona en Internet Explorer.
Si puedo proporcionar más información útil para esto, pregúntame. Soy consciente y observé la mayoría de los recursos de Internet relacionados con el evento ID 36870 y el código de error 0x8009030d, pasé mucho tiempo mirándolos antes de publicar esto y las soluciones propuestas siempre involucran permisos en la carpeta del proveedor de Microsoft (no aplicar) y / o están relacionados con el servidor, y no con las claves del cliente. Los vínculos se aprecian si agregan información que no está asociada con los problemas más comunes, pero no relacionados.
El KSP / CSP también se ha probado en otras computadoras con los mismos errores, por lo que no parece un problema en este IE, sino un problema más genérico.