Как я могу запросить клиентский сертификат только из определенного CA

Question

Возможно ли запросить клиентские сертификаты, выданные только определенным CA (власти сертификата)? Сайт использует IIS 7.5, и у нас есть клиентские сертификаты, назначенные пользователям, следуя этой статье - http://ondrej.wordpress.com/2010/01/24/iis-7-and-client-certificates/ . CTL, похоже, не имеет никакого влияния на это, потому что сервер всегда будет рекламировать все приемлемые имена CA, независимо от того, есть ли они в CTL или нет. http://blogs.msdn.com/b/saurabh_singh/archive/2007/12/07/certificate-trust-list-not-beiing-honored-by-iis-5-0-6-0-7-0.aspx

Answer 1

.
• запустить MMC как администратор на сервере.
• Добавить дополнение сертификатов, выбирая учетную запись компьютера.
• в каждой из подпапок, для каждого из сертификатов вы не хотите быть включены:
  .
  • Если предполагаемое назначение имеет или содержит аутентификацию клиента:
    .
    • Щелкните правой кнопкой мыши на сертификате
    • Убедитесь, что «включить только следующие цели» выбрано
    • Снимите флажок «Аутентификация клиента»
    • Нажмите ОК.

Мне пришлось сделать это более 400 сертификатов на двух серверах ... дважды (потому что GPOS перезагружает мои настройки).