¿Cómo puedo solicitar un certificado de cliente solo de una CA en particular?
Pregunta
¿Es posible solicitar certificados de clientes emitidos solo por una CA en particular (autoridad de certificación)? El sitio está utilizando IIS 7.5, y tenemos certificados de clientes asignados a los usuarios siguiendo este artículo: http://ondrej.wordpress.com/2010/01/24/iis-7-and-client-certificates/ . CTL no parece tener ningún efecto en esto porque el servidor siempre anunciará todos los nombres de CA aceptables, independientemente de si están en la CTL o no. http://blogs.msdn.com/b/saurabh_singh/Archive/2007/12/07/certificate-trust-list-not-being-honored-by-iis-5-0-6-0-7-0.ASPX
Solución
- ejecute MMC como administrador en el servidor.
- Agregar el complemento de certificados, seleccionando la cuenta de la computadora.
- En cada una de las subcarpetas, para cada uno de los certificados que no desea que se incluya:
- Si el propósito previsto tiene o contiene autenticación del cliente:
- Haga clic con el botón derecho en el certificado
- Asegúrese de que "se selecciona solo los siguientes propósitos"
- Si el propósito previsto tiene o contiene autenticación del cliente:
- desmarque "Autenticación del cliente"
- Haga clic en Aceptar.
Tuve que hacer esto por más de 400 certificados en dos servidores ... dos veces (porque los GPOS sobrescribir mi configuración).