我有一个用 Rails 编写的应用程序,由于客户政府的限制,它必须在 IIS 服务器后面运行。我们必须进行 SSL 身份验证。所以在我搜索谷歌的几个小时里,我无法弄清楚如何让 IIS 将客户端证书传递给 rails 服务器(瘦)。
我看过关于 Apache 的教程使用:
SSLOptions +ExportCertData
然后使其可用于请求对象。关于如何配置 IIS 来做同样的事情的任何想法?
问问题
1424 次
3 回答
0
被告知这可能是不可能的。我终于想通了!这是我采取的步骤。
- 使用 OpenSSL 创建您自己的 CA 证书。
- 使用生成的 CA 证书创建并使用 Open SSL 签署其他证书。
- 打开 Internet 信息服务管理器,单击服务器,然后单击服务器证书。
- 单击操作列下的导入
- 导入后点击您的网站。
- 在操作列中单击绑定...
- 单击添加,滚动到 https,然后选择您导入的 CA 证书
- 再次单击您的站点以进入菜单并单击 SSL 设置
- 检查要求 SSL,然后单击单选按钮,要求
- 再次单击您的站点然后单击配置编辑器(安装在 IIS 7.5 中可以在 7.0 中加载)
- 转到 system.webServer/security/authentication/iisClientCertificateMappingAuthentication
- 设置启用为真
- 将 manyToOneCertificateMappings 设置为 true
- 单击 manyToOneMappings 最右端的 ... 框
- 单击集合下的操作列下的添加
- 添加您创建的用户的用户名和密码(可以在本地机器上)
- 现在,转到主服务器并重新启动。
- 您应该能够使用 request.headers 哈希查看证书。
哈希变量包括:
- CERT_SERIALNUMBER
- CERT_SUBJECT
- CERT_ISSUER
- HTTPS_SERVER_ISSUER
- HTTPS_SERVER_SUBJECT
如果您找不到某些东西,您可能必须安装一个模块(用于类似身份验证)。我不记得我安装了哪些。
于 2012-12-14T17:53:48.873 回答
0
公司想要在 IIS 服务器后面运行 Rails(或其他)应用程序的主要原因是为了 SSO,而不是保护资源。
看看这是否有帮助。
我们已经在很多客户地点在 IIS 后面运行我们的 Rails 应用程序。我们在 Tomcat 内的 JRuby 中运行我们的 Rails 应用程序。
安装 JK ISAPI 重定向器插件的步骤在这里
http://tomcat.apache.org/connectors-doc/webserver_howto/iis.html
使用标准 IIS 身份验证方案、集成 Windows 身份验证(协商、NTLM)在 IIS 中保护所有 Rails 上下文。
在 Rails 应用程序中,可以获取登录用户的信息。
request.env['java.servlet_request'].get_remote_user
Rails 应用程序还连接到 Microsoft AD 以获取其他用户信息,例如电子邮件、部门等,
由于 Rails 盲目信任 IIS 服务器进行身份验证,因此需要防止其直接访问。
1. Disable HTTP ports in Tomcat
2. Enable only the AJP port
3. Add an IP restriction so that it accepts connection only from the IIS server(s)
== 我认为 IIS 不可能传递证书详细信息。我们试图提取 Kerboros 令牌(用于 kerboros 身份验证委托)但没有取得多大成功,并意识到这是不可能的。
于 2012-12-03T11:48:39.843 回答
0
至少以您提出问题的方式 IIS 无法提供客户端证书,因为客户端证书将由第三方颁发。因此,您需要获取您的应用程序的 x509 证书,然后将该证书作为与 iis 的初始连接请求的一部分进行身份验证。
至于 apache 功能将 ssl 证书从服务器提供给客户端,iis 没有公开此功能。
这就是为什么你在谷歌上找不到任何东西的原因
于 2012-11-30T00:58:42.593 回答