Como posso solicitar um certificado de cliente apenas de uma CA
Pergunta
É possível solicitar certificados de cliente emitidos apenas por uma CA específica (autoridade de certificação)? O site está usando o IIS 7.5, e temos certificados de cliente atribuídos aos usuários após este artigo - http://ondrej.wordpress.com/2010/01/24/IIS-7-ANT-CLIENTE-Certificates/ . O CTL não parece ter qualquer efeito sobre isso porque o servidor sempre anunciará todos os nomes de CA aceitáveis, independentemente de que estiverem no CTL ou não. http://blogs.msdn.com/b/saurabh_singh/1/2007/12/07/certificate-trust-list-not-being-honeored-by-Iis-5-0-6-0-7-0.aspx
Solução
- Execute o MMC como administrador no servidor.
- Adicione o suplemento de certificados, selecionando a conta do computador.
- Em cada uma das sub-pastas, para cada um dos certificados que você não quer ser incluído:
- Se o objetivo pretendido tiver ou contiver autenticação do cliente:
- Clique com o botão direito do mouse no certificado
- Certifique-se de "Ativar apenas os seguintes fins" é selecionado
- Se o objetivo pretendido tiver ou contiver autenticação do cliente:
- desmarque "autenticação do cliente"
- Clique em OK.
Eu tive que fazer isso por mais de 400 certificados em dois servidores ... duas vezes (porque os GPOs sobrecarregam minhas configurações).