与我关于以正确方式完成客户端证书身份验证的问题相关联,我想知道我是否必须采取步骤将证书链接到用户(活动目录或本地用户)以使客户端证书身份验证按预期工作?
是否有必要禁用所有其他身份验证方案(匿名、Windows)才能进行客户端证书身份验证?
与我关于以正确方式完成客户端证书身份验证的问题相关联,我想知道我是否必须采取步骤将证书链接到用户(活动目录或本地用户)以使客户端证书身份验证按预期工作?
是否有必要禁用所有其他身份验证方案(匿名、Windows)才能进行客户端证书身份验证?
在 IIS 论坛上查看此问题:
这就是我想要实现的目标:
- URL 本身的 SSL 证书 ( https://example.company.com )。据我了解,此证书与客户端证书没有任何联系。
- 从我的本地 CA 颁发的客户端证书并共享给受信任的客户端。
- 指定允许哪些客户端证书连接到特定 IIS 网站的某种方式。
3 看起来……很复杂,至少可以这么说。如果我只是设置了所有内容并连接到我颁发的客户端证书,它就可以工作。CA 和 Web 服务器位于同一个域中(如果重要),我已将 CA 的根证书添加到 Web 服务器上的受信任 CA。然而,在这个阶段我还没有告诉 Web 服务器接受哪些客户端证书,所以我的第一个猜测是它接受所有客户端证书 [链接到] 它信任的任何 CA。
它归结为创建“证书信任列表”,或将证书映射到用户帐户。
但是,您可以在您的服务中实现自定义证书验证器,此处解释了如何执行此操作。