¿IIS hace la verificación del certificado SSL o tengo que verificarlo?
https://stackoverflow.com/questions/8309780
-
25-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo un IIS configurado para aceptar solo las conexiones del cliente con un certificado SSL. Tengo un servicio WCF ejecutado en IIS. Tengo una autoridad de certificación en los servidores de confianza CAS. Ahora, cuando un cliente se conecta al servicio, ¿IIS valida que el certificado del cliente fue emitido por uno de mis CAS de confianza? ¿O tengo que hacer la validación en mi servicio WCF?
También si quiero que el servicio solamente Acepte conexiones de una CA en particular (no todos mis CAS de confianza, solo uno), ¿tendría que hacer la verificación en el código de servicio?
Solución
Si configuró IIS para exigir https mutuos (SSL con certificados del cliente), el IIS / http.sys es responsable de validar el certificado y el certificado del cliente debe estar en la tienda de personas de confianza o debe ser emitido por CA de confianza. El certificado se valida durante el apretón de manos de seguridad para establecer la conexión SSL. Cuando IIS se usa para alojar el servicio WCF, esta validación se realiza fuera de WCF (en caso de auto alojamiento que puede usar Validación de certificados personalizados).
Si desea restringir el acceso al servicio a solo un subconjunto limitado de clientes (con certificados emitidos por solo CA), debe mover este requisito de la autenticación (Certificado de validación) a la autorización = Autorización personalizada Policia En su servicio WCF, donde validará que el certificado fue emitido por correcto CA = el cliente está autorizado para llamar a su servicio.
Los emisores de confianza también se pueden configurar a nivel de sistema con netsh - controlar sslctlidentifier y sslctlstorename. Esta configuración será global para todo el puerto (sitio web), por lo que si tiene múltiples aplicaciones o servicios web con diferentes requisitos alojados en el mismo puerto, esta no será una opción para usted.
Otros consejos
Sí, IIS valida el certificado del cliente para la autenticación mutua, no tiene que verificarlo en su código de servicio web.
Controlar Este artículo, será más claro.
