IIS 和客户端证书

文章翻译 文章翻译
文章编号: 907274 - 查看本文应用于的产品
IIS 支持语音列

IIS 和客户端证书

若要自定义您的需要此列 我们想要邀请您提交您的想法有关您感兴趣的主题以及您想要查看的问题解决在将来的知识库文章和支持语音列。您可以提交您的想法和使用 Ask For It 窗体的反馈。还有在窗体在此栏的底部的链接
展开全部 | 关闭全部

本文内容

简介

呼叫。我的姓名是韩建 Dietz 和我有被支持 Microsoft Internet Information Services (IIS) 的过去六年的时间。这次当中一个主题中的已经过许多 Web 管理员的一个难题是客户端证书。此本文我将探讨一些基础知识的客户端证书,并尝试一些有意义的作用,以及他们可以做些什么。

一些我们看到定期 misconceptions:
  • 客户端证书是建立 SSL 正常工作所需的。
  • 在使用客户端证书时不需要在服务器上的证书。
  • 任何服务器将处理任何证书颁发机构颁发的客户端证书。
  • 如果颁发客户端证书,您的 Web 服务器将自动接受它。
第一个和可能是最令人困惑点是客户端证书和安全套接字层 (SSL) 服务器证书区别的。尽管客户端证书和 SSL 服务器证书都使用证书,它们并没有直接关系到对方。SSL 服务器证书提供加密和安全功能。客户端证书提供了用户的身份验证功能。如果这所作意义上其余部分应该很容易。

客户端证书由证书颁发机构颁发给用户。它们包含的证书和私钥保存只通过向其颁发证书的实体的公钥部分。证书颁发机构可能是一个已知的公共组织作为其的业务的一部分提供的证书服务,或者它可能是您的公司使用的内部服务器。在这两种情况下客户端证书都有用于标识用户,单独或作为组一部分的某些信息。

在 IIS 中,您可以选择忽略、 接受,或要求客户端证书,当用户访问您的服务器上的资源。忽略证书只是表示您不使用它们,将不要求客户端提供一个,并将放弃一个,如果它就会被发送到您的服务器。如果您选择您的服务器将提示您证书,但一定不会接受证书,拒绝访问,如果未提供证书。如果您所需客户端证书用户必须提供有效的证书或用户将收到一条错误消息。

为正常工作的证书必须满足某些要求服务器和客户端上。每一侧都有其信任的根证书颁发机构的列表。当服务器提示输入证书时,请求包括一个服务器信任的证书颁发机构的列表。客户端然后将该列表以列表进行比较的证书颁发机构在客户端信任和的创建者的列表匹配。然后,客户端将客户端证书它已并确定其如果任何,已由客户端和服务器信任的证书颁发机构颁发证书的列表进行比较。根据客户端,您可能会看到可供选择的如果有多个双方都信任的证书颁发机构的证书的列表。然后,客户端向服务器发送证书的公共部分。此位置服务器通常检查确保该证书有效并,如果不执行的任何映射可以继续在客户端和服务器之间通信。

这是最基本的功能的客户端证书。此位置服务器知道仅客户端具有有效的证书。

下面是何处获取有趣的事情。可以将服务器配置为执行映射到用户帐户证书。这可以是一个一对一的映射在特定的证书被映射到一个单用户帐户或多对一映射,服务器使用证书信息中的某些字段映射到指定的用户帐户的任何匹配的证书。在使用的映射时该证书将允许用户被授予或拒绝对资源的访问,为特定用户。这种方式使用客户端证书时, 没有使用任何其他身份验证方法。

与客户端证书相关的常见错误消息

403.7-需要客户端证书
如果客户端未提供客户端证书,需要一个时,会收到此错误消息。客户端发送客户端证书被拒绝,或者在客户端没有通过相互信任的证书颁发机构颁发的证书。
403.13-客户端证书被吊销
此错误消息表示客户端发送最多为吊销颁发机构的证书吊销列表中显示一个证书,但任何一个证书或服务器无法检索从颁发机构的 CRL。
403.16-客户端证书是不受信任或无效。
不正确地形成了客户端提供的证书时,主要生成此错误消息。它还可以生成是否有证书链中由 Web 服务器不受信任的中间证书颁发机构。
403.17-客户端证书已过期或尚未生效
此错误消息是相当容易理解。这意味着在服务器上当前日期不是显示在客户端证书的有效的日期范围内。

更多信息

有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
252657IIS 5.0: HTTP 403.16 禁止访问: 客户端证书不受信任或无效
248031错误消息: HTTP 403.17-禁止访问: 客户端证书已过期或尚未生效
294305虽然没有被吊销的证书,IIS 会返回 HTTP"吊销的客户端的证书 403.13"错误消息
313070如何配置 Internet Information Services (IIS) 5.0 中的客户端证书映射
客户端证书映射 (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
SPKI 证书理论
http://www.ietf.org/rfc/rfc2693.txt
与往常一样随意提交所需解决在将来的列的标题上或在使用 Ask For It 窗体的知识库中的想法。

属性

文章编号: 907274 - 最后修改: 2007年12月3日 - 修订: 1.3
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
关键字:?
kbmt kbiis kbinfo kbhowto KB907274 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 907274
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com