Windows 2008 IIS SSL证书认证登录配置

一、证书申请与安装

略

二、要求客户端证书认证

略

三、一些SSL配置参数

HKLM\System\Currentcontrolset\services\http\parameters\sslbindinginfo

CertCheckMode设置为以下值：

0：做CRL检查。基于缓存的CRL检查，如果CRL过期，将根据证书CDP进行下载更新

1：不做CRL检查

2：做CRL检查。基于缓存的CRL检查，但不联网更新CRL。如果CRL过期，将报错。只能手工方式更新CRL缓存

4：做CRL检查。直接联网下载CRL进行检查，不从缓存的CRL进行检查。TheDefaultRevocationFreshnessTime setting is enabled

CRL的下载频度决定于CRL的下次更新时间。但可以通过RevocationFreshnessTime参数进行指定：

0：按CRL的下次更新时间

1：每1天更新一次（RevocationURLRetrievalTimeout==0）

大于1：按设置的数据，以秒为单位进行更新

另一个参数是RevocationURLRetrievalTimeout，它是以毫秒为单位进行自动更新CRL，这时RevocationFreshnessTime必须设置为1

四、常见问题

403.4 - 要求SSL
　　禁用要求安全通道选项，或使用HTTPS代替HTTP来访问该页面。如果没有安装证书 的Web站点出现此错误，请查看Microsoft知识库中相应的文章：224389 错误信息： HTTP 错误 403、403.4、403.5 禁止访问：要求 SSL

403.5 - 要求SSL 128
　　禁用要求128位加密选项，或使用支持128位加密的浏览器以查看该页面。如果没有安装证书的Web站点出现此错误，请查看Microsoft知识库中相应的文章：224389 错误 信息：HTTP 错误 403、403.4、403.5 禁止访问：要求 SSL

403.7 - 要求客户端证书
　您已把您的服务器配置为要求客户端身份验证证书，但您未安装有效的客户端证书。有关其他信息，请查看Microsoft知识库中相应的文 章：190004 错误 403.7 或 “Connection to Server Could Not Be Established”（无法建立与服务器的连 接）
186812 PRB：错误信息：403.7 Forbidden:Client Certificate Required （403.7 禁止访问：要求客户端证书）

403.12 - 拒绝访问映射表
　您要访问的页面要求提供客户端证书，但映射到您的客户端证书的用户ID已被拒绝访问该文件。有关其他信息，请查看Microsoft知识库中相应的文 章：248075 错误信 息：HTTP 403.12 - Access Forbidden:Mapper Denied Access（HTTP 403.12 - 禁止访问：映射表拒绝访问）

403.13 - 客户端证书被吊销

  检查下证书CDP里的CRL，在Web服务器上的IE上能否下载。如果不能下载，可以把CDP加入到可信站点，同时对应的安全设置里面，“文件下载”要选“启用”。如果Web服务器与CDP之间网络不通，则只能手工下载CRL后，放到Web服务器计算机帐户“My”证书库里面。

403.16 - 客户端证书不受信任或无效

  IIS cannot process a complete certificate chain

403.17 - 客户端证书已过期或尚未生效

五、iisClientCertificateMappingAuthentication

http://www.iis.net/configreference/system.webserver/security/authentication/iisclientcertificatemappingauthentication

六、有用的命令

1 查看CRL缓存：

Certutil –urlcache CRL

2 查看HTTPS设置

netsh http show sslcert

?如何查看缓存的CRL详细信息

?如何更新缓存的CRL







七、Bug修正

IIS 7.5 中的某个证书映射规则不适用于具有 Unicode 编码属性，在 Windows Server 2008 R2 中或在 Windows 7 中的客户端证书

http://support2.microsoft.com/kb/2597665/zh-cn