多对一映射客户端证书

多对一映射使用“通配符”匹配规则,验证客户端证书是否包含颁发者或主题等特定信息。该映射不比较实际客户端证书,而是接受所有符合特定标准的客户端证书。如果客户获得的另一个证书包含的是所有相同的用户信息,那么现有的映射将发挥作用。

在使用多对一映射时,要牢记以下信息:

要点 要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"

使用通配符规则添加客户端证书映射

  1. 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。
  2. 右键单击要为其配置验证的网站,然后单击“属性”。
  3. 单击“目录安全性”选项卡,然后在“安全通信”部分中,单击“编辑”。
  4. 在“安全通信”框中,选择“启用客户端证书映射”复选框,然后单击“编辑”。
  5. 在“帐户映射”框中,单击“多对一”选项卡,然后单击“添加”。
  6. 在“常规”中,输入规则的名称。该名称将显示在“帐户映射”上的选项列表中。可以创建规则供以后使用,或禁用但不删除规则,方法是选中或清除“启用通配符规则”复选框。单击“下一步”。
  7. 在“规则”框中,单击“新建”。
  8. 在“编辑规则元素”框中,选择相应的条件,然后单击“确定”。

    注意 注意 可以重复步骤 6 和 7 进一步定义规则。

  9. 在编辑完规则后,请单击“下一步”。
  10. 在“映射”框中,输入或浏览选择 Windows 用户帐户。输入规则所映射到的帐户的密码。

    注意 注意 如果映射的帐户位于工作组内的计算机上,则需要指定计算机名称和帐户名称。例如,如果正在映射到“Sales1”计算机上的“RegionalSales”帐户,则映射的帐户名称为“Sales1\RegionalSales”。

  11. 单击“确定”。
  12. 重复这些步骤创建其他映射规则。
  13. 使用“上移”和“下移”按钮确定给规则分配的优先权。列表中位置较高的规则优先。

编辑现有的通配符规则

  1. 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。
  2. 右键单击要为其配置验证的网站,然后单击“属性”。
  3. 单击“目录安全性”选项卡,然后在“安全通信”部分中,单击“编辑”。
  4. 在“安全通信”框中,选择“启用客户端证书映射”复选框,然后单击“编辑”。
  5. 在“帐户映射”框中,单击“多对一”选项卡。
  6. 在“多对一”选项卡的规则列表中,单击要修改的规则,然后单击“编辑规则”。
  7. 进行必要的更改,编辑完该规则后,请单击“确定”。
相关主题

© 1997-2003 Microsoft Corporation。保留所有权利