【发布时间】:2021-01-15 08:42:28
【问题描述】:
我正在运行在 IIS 中托管网站的 Windows 2012 R2 环境。该网站目前需要客户端证书(经过验证)才能访问该网站。
检查客户端证书以确保其有效且未被吊销,而不是用于操作系统的识别。如果用户出示有效的证书,则证书上的信息用于在应用程序代码中对用户进行身份验证和识别(实际的身份验证是 Forms Authentication)。客户端证书没有映射到单个用户(例如,客户端证书没有映射到 Active Directory 帐户)。
该站点当前使用附加软件将客户端证书传递给外部 OCSP 以验证证书状态。
我的目标是删除额外的软件,只留下一个 IIS(或仅 Windows Server)解决方案,但文档让我感到困惑。我不确定是否需要在 IIS 服务器或我们的 AD 服务器上安装 OCSP 角色,或者是否有办法在 IIS 中配置 URL 以检查证书。
【问题讨论】:
-
在 IIS 中,客户端证书身份验证必须映射到某个实体,否则 IIS 将在证书到达您的应用程序之前拒绝该证书。
-
如果没有其他软件,您至少需要 OCSP Stapling。启用后,服务器会为自己的证书预取 OCSP 响应,并在 TLS 握手期间将其传递到用户的浏览器。docs.microsoft.com/en-us/previous-versions/windows/it-pro/…跨度>
标签: iis certificate windows-server-2012-r2 ocsp