关于IIS中客户端数字证书的认证问题释疑

最新推荐文章于 2023-12-10 11:38:10 发布
最新推荐文章于 2023-12-10 11:38:10 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: ASP 文章标签: iis ssl 服务器 asp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robur/article/details/1781497
版权

最近一直在研究IIS中客户端数字证书的认证问题。

我们知道,IIS提供了两种方法,在SSL且强制要求客户端证书的情况下,取得客户端数字证书的信息。

一种是通过Request.ClientCertificate,这个方法的有点是可以取到数字证书的二进制流,但是处理中文上有问题。另一个方法是Request.ServerVariables,这个处理中文不存在乱码问题,但是取得的信息量没有前者多。

而且只取得证书的发行者名称,验证起来实在是太荒唐了,那个恐怕根本不能称其为验证,即是是两个不同的CA也可以注册相同的名称,我们无法根据这个判断是不是受信任的CA颁发的证书。

但是,因为ASP没法轻易地与本地系统的CA通信,无法查询本地CA已经颁发的证书,所以也就不能对客户端提供的证书的序列号等具有唯一性的字段进行验证。

数字证书里面有一个“颁发者密钥标识符”的字段(客户端),CA根证书显示的是“使用者密钥标识符”,这两个字段是匹配的,而且是唯一的(针对一个CA而言)。但是无法得到这个值,失败……

以上……思考+实践过程……

后来发现自己自作多情了,MS的东西特点就是对人友好,简洁方便……怎么自己还想着用这么土鳖的办法呢。

IIS如果强制请求数字证书,那么就是在本机的信任证书颁发机构里面查找客户提供证书的颁发机构,如果失败,就拒绝客户端连接。(是不是非常棒?)

这样一来,用数字证书代替username、password的朋友就享福了,只要控制好服务器的信任CA列表,再验证客户证书的几个可以轻易获得的字段,就可以代替传统的验证了,而且不会发生用另一个受信任CA颁发的证书冒名顶替的事情。

我这土鳖的脑袋。。。

robur
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows Server2008、IIS7启用CA认证及证书制作完整过程
李燕军的专栏
06-24 1万+
<span style="mso-fareast-font-family:" lang="EN-US">1        <span style="font-family:宋体;mso-ascii-font-family:">添加活动目录证书服务<p class="MsoNormal" style="margin-left:49.6pt;text-indent:-1.0cm;m
Windows IIS 信任自签名客户端证书的方法
weixin_43189591的博客
06-21 492
Windows iis如果要信任自签名的客户端证书, 首先需要在 注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL。路径下添加 ClientAuthTrustMode 类型: REG_DWORD 值:2。之后在mmc的当前本地计算机的受信任的根证书颁发机构下添加 自签名证书的根证书即可。
IIS服务器安装SSL证书
最新发布
JMC13872389621的博客
12-10 562
更新时间:2023-10-12 11:50您可以在IIS(Internet Information Services)服务器上安装SSL证书,实现通过HTTPS安全访问Web服务。本文介绍如何为IIS服务器安装SSL证书。本文以Windows Server 2012 R2操作系统、IIS 8为例介绍,不同版本的Windows操作系统或IIS服务器,导入证书或为网站绑定证书的操作有所差异,如有问题,请联系商务经理进行咨询。
IIS SSL客户端证书(忽略/接受/必须)之一——服务器证书申请
weixin_33885253的博客
04-11 456
Technorati 标记: IIS,CA,证书,SSL,客户端证书,夏明亮 [第一部分 环境介绍] 架构 1台CA(独立根CA) 1台IIS Server 1台客户端计算机 版本 所有的计算机OS均为Windows Server 2008 R2,所以IIS为7.0版本。 [第二部分 测试环境准备] 一 搭建一台CA Server 此部分内容相对简单,如果...
IIS安全加固与证书签发
Jay
04-26 1002
任务一:IIS安全加固与证书签发 配置windows防火墙,使IIS web服务能够被访问. 选择windows防火墙: 对防火墙高级—本地连接—设置: 将允许web服务器(http)服务: 使用windows自带防火墙加固iis web服务器的安全配置,使得web服务只能被内网用户所在的网段访问。 对默认网站属性的IP地址和域名限制编辑: 选择拒绝访问,添加除外接受内网Ip的用户段,根据第一阶段题目可知,我组内网用户为: 为iis web服务器...
IIS6 数字证书
lovedelphi2006的专栏
08-12 511
http://www.itrus.com.cn/verisignchina/Service/EVInstall/200909/67.html
IIS无法显示文名称图片问题的解决方法
09-30
IIS无法显示文名称图片,但可以通过下面的方法,以后iis下用文命名的图片也可显示了,但不建议用文命名图片
IIS导入服务器证书的方法(IIS5、IIS6、IIS7)
09-30
主要介绍了IIS导入服务器证书的方法(IIS5、IIS6、IIS7),需要的朋友可以参考下
解决关于IIS gzip不能正常启用的问题
01-20
1、gzip的下载安装 一键开启...IIS启用Gzip压缩造成OpenFlashChart不能正常显示问题及解决方法 在.NET使用OpenFlashChart控件显示图表时,谁会想到图表显示正常与否竟然和服务器IIS是否启用了Gzip压缩有关呢? 两个站
关于IIS 对temp目录访问权限问题的解决方法
09-30
拒绝访问 temp 目录,没有访问 temp 目录的足够权限,下面是具体的解决方法,希望对大家有所帮助
IIS7.5 服务器证书安装配置指南
09-30
主要介绍了IIS7.5 服务器证书安装配置指南,需要的朋友可以参考下
iis证书双向认证配置文档.doc
07-20
iis证书双向认证配置文档说明 本文档主要描述如下问题: 1、 服务器证书的请求文件CSR的产生; 2、 服务器证书的安装; 3、 服务器SSL安全配置; 4、 服务器证书的导出(备份)和导入(恢复); 5、 SSL双向认证的配置; 配置环境描述: 1. 操作系统:windows2003 2. iis版本:iis6.0 3. 浏览器版本:必须ie6.0或以上否则证书弹出选择窗口可能会有问题
IIS站点使用数字证书
weixin_30478923的博客
07-03 257
1. SSL解析(内容来自百度百科) SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数...
2003 IIS证书服务器 提示“请求用户名无效,或太长”
08-07 3014
为了学习openssl,需要弄些个证书做实验,于是在VmWare8.0搭建windows 2003证书服务器,安装好后,会在IIS有个默认网站,然后以后访问这个站点就能进行申请证书。 本机做实验都是正确的,申请证书后,在“证书颁发机构” -> "挂起的申请" 能看到并且也能够进行颁发。 如下图: 证书服务器的IP为: 192.168.199.101,匿名用户为Cert帐号。然
iis 使用服务器端证书和客户端证书及访问客户端证书信息
windowsliusheng的专栏
03-14 6095
1.      服务器端证书申请 (1)    选IIS服务器选择右边创建证书申请。 (2)    在“申请证书”通用名称可填写“IP” 然后下一步按照默认。 (3)    访问证书服务器Web注册站点“ http://IP地址/certsrv ” 选择“申请证书”—>“高级证书申请” –>“使用base64编码的CMC或PKCS#10文件提交一个证书申请,或使用base64编码的PKC
IIS7 SSL证书安装
热门推荐
阿希的博客
06-02 1万+
首先搞清楚网站所需证书的类型,单域\通配符\多域名证书所代表的含义和适配情况 单域名版SSL证书 顾名思义,只保护一个域名,这些域名形如 www.yuming.com;pay.domain.net;shop.store.cn 等; 值得注意的有两点: 1、当您为 www 前缀的域名申请证书的时候,默认是可以保护不带 www 的主域名,例如您为 www.sslzhengshu.com 申...
在Server 2016/IIS 10下用ASP连接ACCESS数据库
The 44th Demilitarized Zone
08-19 4695
服务器升级到Server 2016,有一些在旧平台上开发的web应用需要迁移过来。 其有一个ASP+ACCESS开发的小应用,迁移到Server 2016后,访问时报告“ADODB.Connection 错误 '800a0e7a'”。 问题显而易见,是新的Server 2016上没有安装数据库驱动导致的。 这个web应用之前工作在Server 2008 R2上,也是x64的系统环境,看了一...
关于Server 2016 IIS应用程序池崩溃的问题
The 44th Demilitarized Zone
09-12 3744
有一个小ASP程序,调用Access数据库,迁移到Server 2016/IIS10。 为了访问数据库,安装了Access Database Engine 2016组件。 后期使用发现,程序在查询数据库时没问题,写入数据库时会随机发生应用程序池崩溃的故障。(但是数据确实已经写进数据库里了) 受IIS的故障恢复策略影响,崩溃的应用程序池会自动重启,但用户这边由于丢失了session,浏览器...
iis部署ssl证书
09-13
7. 在收到由CA签名的SSL证书之后,打开IIS管理器服务器节点,选择“服务器证书”功能。 8. 在右侧的“动作”面板,选择“完成证书请求”。 9. 在“完成证书请求”对话框,选择您收到的证书文件,并为该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值