IIS 和用戶端憑證

文章翻譯 文章翻譯
文章編號: 907274 - 檢視此文章適用的產品。
IIS 支援語音資料行

IIS 和用戶端憑證

若要自訂您的需要此資料行的 我們想要邀請您送出您的想法,有關您感興趣的主題,而且在將來知識庫文件和支援語音資料行,處理您想要查看的問題。您可以送出您的想法和使用 Ask For It 表單的意見反應。另外還有連結至表單底部的 這個資料行。
全部展開 | 全部摺疊

在此頁中

簡介

嗨。我的名稱是 David Dietz,我已經過 Microsoft 網際網路資訊服務 (IIS) 支援過去六年。這次過程,已被許多 Web 系統管理員的挑戰的一個主題是用戶端憑證。本文章中我將超過用戶端憑證的一些基本概念,並嘗試一些有意義它們是針對和它們可以執行的動作。

我們可以看到以規則為基礎的 misconceptions 包括:
  • 用戶端憑證的所需進行 SSL 運作正常。
  • 使用 [用戶端憑證時您不需要伺服器上的憑證。
  • 由任何憑證授權單位所發出的用戶端憑證可在任何伺服器。
  • 如果您發出用戶端憑證,您的 Web 伺服器會自動接受它。
第一個和或許是大部分的混淆點是用戶端憑證及安全通訊端層 (SSL) 伺服器憑證差異。雖然用戶端憑證和 SSL 伺服器憑證使用憑證,它們是不直接相互關聯。SSL 伺服器憑證提供加密和安全性功能。用戶端憑證提供使用者驗證功能。如果這是合理,其餘應該很容易。

用戶端憑證由憑證機構所發行給使用者。憑證及私密金鑰,只由發出憑證的實體持有的公用金鑰部分所組成。憑證授權單位可能知名的公用組織提供憑證服務其商務的一部份,或者它可能只是您的公司使用的內部伺服器。不論是哪一種用戶端憑證會有個別或群組的一部份會識別使用者特定資訊。

在 IIS 中,您可以略過、 接受,或需要用戶端憑證,當使用者存取您的伺服器上資源的選擇。忽略憑證只是表示您沒有使用、 不會詢問的其中一個,用戶端,將會捨棄一個如果傳送給您的伺服器。如果選擇接受憑證您伺服器將會提示您輸入憑證,但將不一定是拒絕存取若未提供憑證。如果您需要用戶端憑證,使用者必須提供有效的憑證或使用者會收到錯誤訊息。

要正確地運作憑證,必須在伺服器和用戶端上符合某些需求。每一邊有一份他們信任的根憑證授權單位。當伺服器提示提供憑證時,要求會包含伺服器所信任的憑證授權單位的清單。用戶端接著會比較清單此清單的憑證授權單位用戶端所信任,並建立的清單相符。然後,用戶端會比較該清單,以用戶端憑證已,並決定其中如果有任何,已由用戶端和伺服器信任的憑證授權單位發給憑證。根據用戶端,您可能會看到可從中選擇如果有一個以上兩方信任的憑證授權單位的憑證清單。然後用戶端會將憑證的公用部分傳送至伺服器。這個時候伺服器通常會以確定此憑證有效以及執行沒有對應如果用戶端與伺服器之間通訊還是可以繼續檢查。

這是最基本功能的用戶端憑證。這個時候伺服器知道僅用戶端具備有效的憑證。

這裡是事情有趣的地方。伺服器可以設定來執行使用者帳戶之憑證的對應。這可以是任一一對一對應,位置特定的憑證對應至單一使用者帳戶或多對一對應,伺服器而使用中憑證資訊的特定欄位任何相符的憑證對應到指定的使用者帳戶。使用的對應時憑證可讓使用者授與或拒絕存取的資源以特定的使用者。以這種方式使用用戶端憑證時, 您沒有使用任何其他驗證方法。

與用戶端憑證相關的常見錯誤訊息

403.7-所需的用戶端憑證
如果用戶端未提供用戶端憑證,一個在需要時,會收到這個錯誤訊息。請用戶端拒絕傳送用戶端憑證,或用戶端並沒有由相互信任的憑證機構所發行的憑證。
403.13-用戶端憑證被撤銷
此錯誤訊息代表用戶端傳送一個憑證,但其中一個憑證會出現如撤銷發行授權單位憑證廢止清單] 中,或是伺服器無法從發行單位擷取 CRL。
403.16-用戶端憑證是不受信任或不正確。
當用戶端所提供的憑證未正確形成,主要產生這個錯誤訊息。它也可能會產生如果有不受網頁伺服器憑證鏈結中的中繼憑證授權單位。
403.17-用戶端憑證已經過期或尚未生效
這個錯誤訊息是相當自我闡明的。它表示的伺服器上目前的日期不呈現在用戶端憑證的有效日期範圍內。

其他相關資訊

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
252657IIS 5.0: HTTP 403.16 禁止: 用戶端憑證不受信任或不正確
248031錯誤訊息: HTTP 403.17-禁止: 用戶端憑證已經過期或尚未生效
294305IIS 傳回 HTTP 「 403.13 用戶端憑證撤銷 」 錯誤訊息,雖然不撤銷憑證
313070如何設定用戶端憑證對應在網際網路資訊服務 (IIS) 5.0
用戶端憑證對應 (IIS 6.0)
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/751c99bd-9657-41a5-b541-569d305872ef.mspx?mfr=true
SPKI 憑證理論
http://www.ietf.org/rfc/rfc2693.txt
如往常請隨意送出您想要在將來解決資料行的主題或使用 Ask For It 表單的知識庫中的想法。

屬性

文章編號: 907274 - 上次校閱: 2007年12月3日 - 版次: 1.3
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
關鍵字:?
kbmt kbiis kbinfo kbhowto KB907274 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:907274
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com