如何使用客戶端證書訪問網站

Question

我有IIS託管的網站。我的主要問題是我只希望安裝特定證書的用戶能夠訪問該網站。我試圖遵循一些教程，但我找不到涵蓋服務器和客戶端的任何人，因爲我無法使其工作。

我有一些問題，主要問題：

• 我應該使用什麼樣的證書（域/自交IIS 7.5中的符號）？我有訪問Active Directory證書服務，我可以創建其他類型的證書（CA），但問題試圖將它們導入到我的IIS（「證書不能作爲SSL服務器證書」）

時

• 我想使用CA證書，但使用IIS時可以這麼做嗎？或者如果用戶擁有正確的證書，我是否需要編寫所有代碼？

• 當創建的證書的網站（例如，雖然IIS）..我如何創建由服務器證書信任用戶的證書？

正如你可能注意到了，現在我不知道該怎麼辦了這一切，並會真的很喜歡一些幫助..

Answer 1

1. 服務器應該使用SSL服務器證書。該證書必須在Extended key usage中有Server Authentication擴展名。服務器證書應該有SAN延伸部（使用者替代名稱）與服務器DNS名稱（即somesite.com）
2. CA證書必須被導入到受信任的根存儲（優選本地計算機）上的服務器和客戶端計算機的域名。
3. 客戶端證書應包含Client Authentication擴展在Extended key usage。

所有EndEntity（客戶端和服務器）證書都應該有CRL distribution point，其中有由CA頒發的CRL URL。客戶端和服務器都必須能夠訪問CRL，並且應始終有效。

可以使用XCA用於訓練目的。它有一個很好的GUI，默認情況下它具有CA，SSL服務器和SSL客戶端證書的模板。然後，您可以在Active Directory證書服務中模擬這些證書。文檔和一些指南可以在here找到。