Windows 2008 IIS SSL证书认证登录配置

一、证书申请与安装

二、要求客户端证书认证

三、一些SSL配置参数

HKLM\System\Currentcontrolset\services\http\parameters\sslbindinginfo

CertCheckMode设置为以下值:

0:做CRL检查。基于缓存的CRL检查,如果CRL过期,将根据证书CDP进行下载更新

1:不做CRL检查

2:做CRL检查。基于缓存的CRL检查,但不联网更新CRL。如果CRL过期,将报错。只能手工方式更新CRL缓存

4:做CRL检查。直接联网下载CRL进行检查,不从缓存的CRL进行检查。TheDefaultRevocationFreshnessTime setting is enabled


CRL的下载频度决定于CRL的下次更新时间。但可以通过RevocationFreshnessTime参数进行指定:

0:按CRL的下次更新时间

1:每1天更新一次(RevocationURLRetrievalTimeout==0)

大于1:按设置的数据,以秒为单位进行更新


另一个参数是RevocationURLRetrievalTimeout,它是以毫秒为单位进行自动更新CRL,这时RevocationFreshnessTime必须设置为1


四、常见问题

403.4 - 要求SSL
  禁用要求安全通道选项,或使用HTTPS代替HTTP来访问该页面。如果没有安装证书 的Web站点出现此错误,请查看Microsoft知识库中相应的文章:224389 错误信息: HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL

403.5 - 要求SSL 128
  禁用要求128位加密选项,或使用支持128位加密的浏览器以查看该页面。如果没有安装证书的Web站点出现此错误,请查看Microsoft知识库中相应的文章:224389 错误 信息:HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL

403.7 - 要求客户端证书
 您已把您的服务器配置为要求客户端身份验证证书,但您未安装有效的客户端证书。有关其他信息,请查看Microsoft知识库中相应的文 章:190004 错误 403.7 或 “Connection to Server Could Not Be Established”(无法建立与服务器的连 接)
186812 PRB:错误信息:403.7 Forbidden:Client Certificate Required (403.7 禁止访问:要求客户端证书)

403.12 - 拒绝访问映射表
 您要访问的页面要求提供客户端证书,但映射到您的客户端证书的用户ID已被拒绝访问该文件。有关其他信息,请查看Microsoft知识库中相应的文 章:248075 错误信 息:HTTP 403.12 - Access Forbidden:Mapper Denied Access(HTTP 403.12 - 禁止访问:映射表拒绝访问)

403.13 - 客户端证书被吊销

  检查下证书CDP里的CRL,在Web服务器上的IE上能否下载。如果不能下载,可以把CDP加入到可信站点,同时对应的安全设置里面,“文件下载”要选“启用”。如果Web服务器与CDP之间网络不通,则只能手工下载CRL后,放到Web服务器计算机帐户“My”证书库里面。

403.16 - 客户端证书不受信任或无效

  IIS cannot process a complete certificate chain

403.17 - 客户端证书已过期或尚未生效


五、iisClientCertificateMappingAuthentication

http://www.iis.net/configreference/system.webserver/security/authentication/iisclientcertificatemappingauthentication


六、有用的命令

1 查看CRL缓存:
Certutil –urlcache CRL

2 查看HTTPS设置
netsh http show sslcert

?如何查看缓存的CRL详细信息
?如何更新缓存的CRL



七、Bug修正
IIS 7.5 中的某个证书映射规则不适用于具有 Unicode 编码属性,在 Windows Server 2008 R2 中或在 Windows 7 中的客户端证书


  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值