如何仅从特定的CA请求客户端证书

Question

是否可以请求仅由特定CA（证书颁发机构）发出的客户证书？ 该站点使用IIS 7.5，我们有向遵循本文的用户证书 - http://ondrej.wordpress.com/2010/01/24/8/7-and-client-certificates/ 。 CTL似乎对此没有任何影响，因为服务器将始终宣传所有可接受的CA名称，无论它们是否在CTL中，都是如此。 http://blogs.msdn.com/b/saurabh_singh/archive/2007/12/07/certificate-trust-list-not-being-honored-by-iis-5-0-6-0-7-0.aspx

Answer 1

• 运行MMC作为服务器上的管理员。
• 添加证书加载项，选择计算机帐户。
• 在每个子文件夹中，对于您不想包含的每个证书：
  • 如果预期目的具有或包含客户端身份验证：
    • 右键单击证书
    • 确保选择“仅启用以下目的”
    • 取消选中“客户端身份验证”
    • 单击确定。

我必须在两个服务器上为超过400个证书执行此操作......两次（因为GPO覆盖了我的设置）。