关于IIS中客户端数字证书的认证问题释疑

原创 2007年09月11日 23:23:00

最近一直在研究IIS中客户端数字证书的认证问题。

我们知道,IIS提供了两种方法,在SSL且强制要求客户端证书的情况下,取得客户端数字证书的信息。

一种是通过Request.ClientCertificate,这个方法的有点是可以取到数字证书的二进制流,但是处理中文上有问题。另一个方法是Request.ServerVariables,这个处理中文不存在乱码问题,但是取得的信息量没有前者多。

而且只取得证书的发行者名称,验证起来实在是太荒唐了,那个恐怕根本不能称其为验证,即是是两个不同的CA也可以注册相同的名称,我们无法根据这个判断是不是受信任的CA颁发的证书。

但是,因为ASP没法轻易地与本地系统的CA通信,无法查询本地CA已经颁发的证书,所以也就不能对客户端提供的证书的序列号等具有唯一性的字段进行验证。

数字证书里面有一个“颁发者密钥标识符”的字段(客户端),CA根证书显示的是“使用者密钥标识符”,这两个字段是匹配的,而且是唯一的(针对一个CA而言)。但是无法得到这个值,失败……

以上……思考+实践过程……

后来发现自己自作多情了,MS的东西特点就是对人友好,简洁方便……怎么自己还想着用这么土鳖的办法呢。

IIS如果强制请求数字证书,那么就是在本机的信任证书颁发机构里面查找客户提供证书的颁发机构,如果失败,就拒绝客户端连接。(是不是非常棒?)

这样一来,用数字证书代替username、password的朋友就享福了,只要控制好服务器的信任CA列表,再验证客户证书的几个可以轻易获得的字段,就可以代替传统的验证了,而且不会发生用另一个受信任CA颁发的证书冒名顶替的事情。

我这土鳖的脑袋。。。

iis 使用服务器端证书和客户端证书及访问客户端证书信息

1.      服务器端证书申请 (1)    选中IIS服务器选择右边创建证书申请。 (2)    在“申请证书”中通用名称可填写“IP” 然后下一步按照默认。 (3)    访问证书服务器Web注...

GDCA数字证书客户端普通版-v3.9.13

  • 2015年04月15日 14:30
  • 34.8MB
  • 下载

Tomcat + 数字证书 部署webservice (客户端调用https webService)

关于tomcat +数字证书类例子网络上很多,使用keytool工具即可,配置可见: http://blog.csdn.net/huzheaccp/article/details/8812826 ...

格尔数字证书认证系统

  • 2014年09月23日 17:52
  • 1.26MB
  • 下载

asp.net在IIS环境中访问第三方需数字证书接口时 报 “请求被中止: 未能创建 SSL/TLS 安全通道”

最近做一个网站,需要访问第三方的接口(访问接口需要数字证数 *.pfx  文件),在VS环境下运行时完全正常,但放到IIS上就报"请求被中止: 未能创建 SSL/TLS 安全通道"。在网上找好久终于找...

数字证书申请教程 CA认证

  • 2010年12月21日 00:40
  • 1006KB
  • 下载

使用ssl加密的IIS客户端证书访问配置

一、         测试环境配置... 11、           win2003系统_1.. 11.1.         安装IIS以承载CA证书服务... 11.2.         安装证书服...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于IIS中客户端数字证书的认证问题释疑
举报原因:
原因补充:

(最多只允许输入30个字)