一、证书申请与安装
略
二、要求客户端证书认证
略
三、一些SSL配置参数
HKLM\System\Currentcontrolset\services\http\parameters\sslbindinginfo
CertCheckMode设置为以下值:
0:做CRL检查。基于缓存的CRL检查,如果CRL过期,将根据证书CDP进行下载更新
1:不做CRL检查
2:做CRL检查。基于缓存的CRL检查,但不联网更新CRL。如果CRL过期,将报错。只能手工方式更新CRL缓存
4:做CRL检查。直接联网下载CRL进行检查,不从缓存的CRL进行检查。TheDefaultRevocationFreshnessTime setting is enabled
CRL的下载频度决定于CRL的下次更新时间。但可以通过RevocationFreshnessTime参数进行指定:
0:按CRL的下次更新时间
1:每1天更新一次(RevocationURLRetrievalTimeout==0)
大于1:按设置的数据,以秒为单位进行更新
另一个参数是RevocationURLRetrievalTimeout,它是以毫秒为单位进行自动更新CRL,这时RevocationFreshnessTime必须设置为1
四、常见问题
403.4 - 要求SSL
禁用要求安全通道选项,或使用HTTPS代替HTTP来访问该页面。如果没有安装证书 的Web站点出现此错误,请查看Microsoft知识库中相应的文章:224389 错误信息: HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL
403.5 - 要求SSL 128
禁用要求128位加密选项,或使用支持128位加密的浏览器以查看该页面。如果没有安装证书的Web站点出现此错误,请查看Microsoft知识库中相应的文章:224389 错误 信息:HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL
403.7 - 要求客户端证书
您已把您的服务器配置为要求客户端身份验证证书,但您未安装有效的客户端证书。有关其他信息,请查看Microsoft知识库中相应的文 章:190004 错误 403.7 或 “Connection to Server Could Not Be Established”(无法建立与服务器的连 接)
186812 PRB:错误信息:403.7 Forbidden:Client Certificate Required (403.7 禁止访问:要求客户端证书)
403.12 - 拒绝访问映射表
您要访问的页面要求提供客户端证书,但映射到您的客户端证书的用户ID已被拒绝访问该文件。有关其他信息,请查看Microsoft知识库中相应的文 章:248075 错误信 息:HTTP 403.12 - Access Forbidden:Mapper Denied Access(HTTP 403.12 - 禁止访问:映射表拒绝访问)
403.13 - 客户端证书被吊销
检查下证书CDP里的CRL,在Web服务器上的IE上能否下载。如果不能下载,可以把CDP加入到可信站点,同时对应的安全设置里面,“文件下载”要选“启用”。如果Web服务器与CDP之间网络不通,则只能手工下载CRL后,放到Web服务器计算机帐户“My”证书库里面。
403.16 - 客户端证书不受信任或无效
IIS cannot process a complete certificate chain
403.17 - 客户端证书已过期或尚未生效
五、iisClientCertificateMappingAuthentication
六、有用的命令