启用客户端证书

可以要求试图访问网站的用户使用客户端证书登录。然而,要求客户端证书并不能有效地防止您的内容受到未经授权的访问。任何拥有有效且可信客户端证书的用户都可以建立安全连接并访问您的资源。为了防止 Web 内容受到未经授权的访问,必须进行如下某项操作:

Web 服务器不能处理客户端证书,除非以前安装了服务器证书并启用了服务器安全通讯功能。有关验证和证书的详细信息,请参阅身份验证获取和安装服务器证书

当试图设置特定网站的属性时,Web 服务器将提醒您是否拥有重新设置网站上单个目录和文件的属性的权限。如果选择了重新设置这些属性,先前的设置将被新的设置所替换。设置目录属性时如果目录中包含以前设置了安全属性的子目录或文件,情况也是如此。

如果在单个目录或文件上启用客户端证书,而不是在整个网站上启用,则可能会出现以下问题:

解决方案是确保没有禁止客户端发送整个实体正文。如果请求客户端重新协商,则必须使用 SSL 预加载功能预先加载请求实体正文。SSL 预加载功能将使用用于 ISAPI 扩展的 UploadReadAheadSize 值。但是,如果 UploadReadAheadSize 小于内容长度,则返回 HTTP 错误 413,并关闭连接以防止出现死锁。(在以下情况下出现“死锁”:客户端正在等待发送请求实体,而服务器等待完成重新协商,而重新协商要求客户端能够发送数据,而这是无法完成的。)

要点 要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"

启用客户端证书

  1. 在 IIS 管理器中,展开本地计算机,然后右键单击所需的某个网站、目录或文件,然后单击“属性”。
  2. 如果以前未获得服务器证书,请单击“目录安全性”选项卡,然后在“安全通信”下面单击“服务器证书”。详细信息,请参阅使用证书向导
  3. 如果以前未获得服务器证书,请单击“目录安全性”或“文件安全性”选项卡,然后在“安全通信”下面单击“编辑”。
  4. 在“安全通信”框中,请选中“要求安全通道 (SSL)”复选框。要求安全通道意味着,如果用户不使用安全链接(即链接的 URL 必须以 https:// 开头),就无法连接到此站点。
  5. 在“客户端证书”下,选择以下某一选项以启用客户端证书验证:
    • 接受客户端证书 用户可以使用客户端证书访问资源,但证书并不必需。
    • 要求客户端证书 服务器在将用户与资源连接之前要请求客户端证书。将拒绝没有有效客户端证书的用户的访问。
    • 忽略客户端证书 无论用户是否拥有证书,都将被授予访问权限。

© 1997-2003 Microsoft Corporation。保留所有权利