Wie kann ich ein Client-Zertifikat nur von einer bestimmten Zertifizierung anfordern?
Frage
ist es möglich, Client-Zertifikate anzufordern, die nur von einer bestimmten CA (Zertifikatsbehörde) ausgestellt wurden (Zertifizierungsstelle)? Die Website verwendet IIS 7.5, und wir haben Kundenzertifikate, die den Benutzern folgen, die diesem Artikel folgen - http://ondrej.wordpress.com/2010/01/24/iis-7-und-client-certificates/ . CTL scheint keinen Einfluss darauf zu haben, da der Server immer alle akzeptablen CA-Namen werben wird, unabhängig davon, ob sie sich in der CTL befinden oder nicht. http://blogs.msdn.com/b/saurabh_singh/archive/2007/12/07/certificate-trust-list-not-being-Honored-By-iis-5-0-6-0-7-0.Aspx
Lösung
- Führen Sie MMC als Administrator auf dem Server aus.
- Fügen Sie das Add-In Zertifikate hinzu, wählen Sie das Computerkonto aus.
- In jedem der Unterordner, für jedes der Zertifikate, die Sie nicht aufnehmen möchten:
- Wenn der beabsichtigte Zweck die Client-Authentifizierung hat oder enthält:
- Klicken Sie mit der rechten Maustaste auf das Zertifikat
- Stellen Sie sicher, dass "nur die folgenden Zwecke aktivieren" ausgewählt ist
- Wenn der beabsichtigte Zweck die Client-Authentifizierung hat oder enthält:
- deaktivieren Sie "Client-Authentifizierung"
- Klicken Sie auf OK.
Ich musste dies für über 400 Zertifikate auf zwei Servern tun ... zweimal (weil GPO meine Einstellungen überhörte).