一对一映射客户端证书

一对一映射将一个客户端证书映射到 Windows 用户帐户。服务器将其所持客户端证书的副本与浏览器发送的客户端证书相比较。映射的双方必须完全相同才能进行处理。如果客户获得的另一个证书包含的是所有相同的用户信息,那么必须再次进行映射。

某些客户端证书则需要“导出”,以便用于 IIS 一对一映射。要了解是否应导出客户端证书的详细信息,请与证书颁发机构联系。

使用 Microsoft Internet Explorer 5.0 或更高版本导出证书

  1. 在 Internet Explorer 的“工具”菜单上,单击“Internet 选项”,然后单击“内容”选项卡。
  2. 在“内容”选项卡上,单击“证书”,然后单击“个人”选项卡。
  3. 在“个人”选项卡上的证书列表中,单击要导出的证书,然后单击“导出”。
  4. 在证书导出向导中,单击“下一步”。
  5. 在向导的下一页上,单击“不,不要导出私钥”,然后单击“下一步”。
  6. 在向导的下一页上,单击“Base64 编码 X.509 (*.cer)”,然后单击“下一步”。
  7. 按照证书导出向导上的说明完成其余步骤。

注意 注意 也可以使用该过程创建证书的备份副本。

现在证书已准备好用于以后的 IIS 一对一映射。对于每个证书,只需要执行此过程一次。

要点 要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"

将特定客户端证书映射到用户帐户上

  1. 在 IIS 管理器中,展开本地计算机,然后展开“网站”文件夹。
  2. 右键单击要为其配置验证的网站,然后单击“属性”。
  3. 单击“目录安全性”选项卡,然后在“安全通信”部分中,单击“编辑”。
  4. 在“安全通信”框中,选择“启用客户端证书映射”复选框,然后单击“编辑”。
  5. 在“帐户映射”框中,单击“一对一”选项卡。
  6. 在“一对一”选项卡上,单击“添加”以添加新的证书,或者选择现有的映射并单击“编辑映射”以编辑该映射。
  7. 如果正在添加新证书,请找到并打开证书文件。

    注意 注意 如果无法找到证书文件,则可能需要导出该文件。请使用上面的步骤导出证书文件。

  8. 在“映射到帐户”框中,输入映射的名称。该名称将显示在“帐户映射”上的选项列表中。
  9. 输入或浏览选择 Windows 用户帐户。输入证书所映射到的帐户的密码。
  10. 单击“确定”。
  11. 重复执行这些步骤以映射其他证书,或者将该证书映射到其他帐户上。
相关主题

© 1997-2003 Microsoft Corporation。保留所有权利