链接到my question about client certificate authentication done the right way 我想知道是否必须采取步骤将证书链接到用户(活动目录或本地用户)才能使客户端证书身份验证按预期工作?
是否有必要禁用所有其他身份验证方案(匿名、Windows)才能进行客户端证书身份验证?
【问题讨论】:
标签: authentication iis client-certificates
在 IIS 论坛上查看 this question:
这就是我想要实现的目标:
- URL 本身的 SSL 证书 (https://example.company.com)。据我了解,此证书与客户端证书没有任何联系。
- 客户端证书由我的本地 CA 颁发并共享给受信任的客户端。
- 指定允许哪些客户端证书连接到特定 IIS 网站的某种方式。
3 看起来……很复杂,至少可以这么说。如果我只是设置了所有内容并连接到我颁发的客户端证书,它就可以工作。 CA 和 Web 服务器在同一个域中(如果重要的话),我已将 CA 的根证书添加到 Web 服务器上的受信任 CA。 但是,在这个阶段我还没有告诉网络服务器接受哪些客户端证书,所以我的第一个猜测是它接受所有客户端证书[链接到]它信任的任何 CA。
另见this question,它链接到this site,它已死。
归结为创建“证书信任列表”,或将证书映射到用户帐户。
但是,您可以在您的服务中实现自定义证书验证器,如何做到这一点在here 中进行了说明。
【讨论】: