使用证书信任列表

可以配置运行带有 IIS 6.0 的 Windows Server 2003 家族成员的计算机以接受来自预定义证书颁发机构 (CA) 列表的证书。可以配置每个网站使用证书信任列表 (CTL) 接受来自不同列表的证书。可以对照您的 CTL 自动验证客户端证书。可以使用证书信任列表向导创建和编辑 CTL,并将新的根证书添加到您的 CTL 中。

例如,Intranet 管理员可以通过 CTL 的形式为 Intranet 上各个部门的网站创建不同的信任证书颁发机构列表。因此,IIS 只接受位于该部门 CTL 上的证书颁发机构颁发的证书。当该部门的成员使用部门 CTL 中某个证书颁发机构颁发的证书登录时,就会自动对他们进行验证。

在使用 CTL 时,要注意以下事项:

要点 要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"

在服务器上创建证书信任列表

  1. 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。
  2. 右键单击所需的网站,然后单击“属性”。
  3. 在“目录安全性”选项卡的“安全通信”下面,单击“编辑”。

    注意 注意 只有将服务器证书附加或绑定到站点上,才能激活“编辑”按钮。有关获取和安装服务器证书的信息,请参阅使用证书向导

  4. 在“安全通信”框中,选择“启用证书信任列表”复选框,然后单击“新建”。
  5. 请按照证书信任列表向导的说明进行操作,它将指导您完成创建 CTL 的过程。

修改服务器上的证书信任列表

  1. 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。
  2. 右键单击所需的网站,然后单击“属性”。
  3. 在“目录安全性”选项卡的“安全通信”下面,单击“编辑”。
  4. 在“安全通信”框中,浏览“当前 CTL”列表,单击要修改的 CTL,然后单击“编辑”。
  5. 请按照证书信任列表向导的说明进行操作,它将指导您完成修改 CTL 的过程。

© 1997-2003 Microsoft Corporation。保留所有权利