如何使用客户端证书访问网站

Question

我有IIS托管的网站。我的主要问题是我只希望安装特定证书的用户能够访问该网站。我试图遵循一些教程，但我找不到涵盖服务器和客户端的任何人，因为我无法使其工作。

我有一些问题，主要问题：

• 我应该使用什么样的证书（域/自交IIS 7.5中的符号）？我有访问Active Directory证书服务，我可以创建其他类型的证书（CA），但问题试图将它们导入到我的IIS（“证书不能作为SSL服务器证书”）

时

• 我想使用CA证书，但使用IIS时可以这么做吗？或者如果用户拥有正确的证书，我是否需要编写所有代码？

• 当创建的证书的网站（例如，虽然IIS）..我如何创建由服务器证书信任用户的证书？

正如你可能注意到了，现在我不知道该怎么办了这一切，并会真的很喜欢一些帮助..

Answer 1

1. 服务器应该使用SSL服务器证书。该证书必须在Extended key usage中有Server Authentication扩展名。服务器证书应该有SAN延伸部（使用者替代名称）与服务器DNS名称（即somesite.com）
2. CA证书必须被导入到受信任的根存储（优选本地计算机）上的服务器和客户端计算机的域名。
3. 客户端证书应包含Client Authentication扩展在Extended key usage。

所有EndEntity（客户端和服务器）证书都应该有CRL distribution point，其中有由CA颁发的CRL URL。客户端和服务器都必须能够访问CRL，并且应始终有效。

可以使用XCA用于训练目的。它有一个很好的GUI，默认情况下它具有CA，SSL服务器和SSL客户端证书的模板。然后，您可以在Active Directory证书服务中模拟这些证书。文档和一些指南可以在here找到。