配置 IIS 以接受或过滤特定颁发者的用户证书答案

【问题标题】：Configure IIS to accept or filter user certificate by specific issuer配置 IIS 以接受或过滤特定颁发者的用户证书
【发布时间】：2016-09-03 18:56:44
【问题描述】：

您可以使用 IIS 管理器轻松配置 IIS 以使用 SSL 的特定证书。但是，当用户在网页上打开浏览器时，我发现很难过滤选择中显示的用户证书。选择包含所有有效的用户证书，但我只想列出特定证书（由特定 CA 首选），我知道这是可能的。

我已经发现这不是客户端，而是 IIS 端设置。有谁知道如何配置？

【问题讨论】：

你怎么知道这是一个 IIS 设置。在 IIS 中，您只能接受或要求客户端证书，但不能指定任何过滤器。你怎么知道这是可能的？
如果我访问特定的基于 IIS 的网站，则浏览器（在 IE 和 Chrome 上测试）除了列出所有用户证书的网站之外，只会列出特定的用户证书。我假设必须有一些可以使用 cmd 命令修改的 IIS 设置。这很可能是我正在寻找的。span>
有趣，我从未见过，但我想说这与 Windows 中的加密配置有关，而不是 IIS，比如支持某些密码和哈希。我怀疑您是否可以基于 CA 进行过滤，而且我很确定 IIS 本身没有任何关于此的内容。也许您可以检查某些网站未列出的证书是否具有 SHA1 签名算法
我检查了签名算法，结果发现在这两种情况下都使用了 SHA1 并且它们具有相同的公钥长度......所以我们可以排除这种情况。

【解决方案1】：

有点晚了，但要过滤证书，您可以使用 IIS 客户端证书映射身份验证。按照this documentation 了解如何执行此操作。在那里，您可以在 IIS 中过滤您想要允许的客户端证书类型。

要限制对浏览器显示的弹出窗口的选择，您需要发送受信任的颁发者列表。然后浏览器将只显示您的服务器信任的证书。从 IIS8.5 及更高版本开始，默认值为 false。 See this link

为此设置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendTrustedIssuerList 到 DWORD 值 1

请注意，可以发送的受信任发行者数量有限！如果时间过长，可能会出现问题，因为客户端可能无法在弹出窗口中看到所有有效证书。

【讨论】：