Как я могу запросить клиентский сертификат только из определенного CA
Вопрос
Возможно ли запросить клиентские сертификаты, выданные только определенным CA (власти сертификата)?
Сайт использует IIS 7.5, и у нас есть клиентские сертификаты, назначенные пользователям, следуя этой статье - http://ondrej.wordpress.com/2010/01/24/iis-7-and-client-certificates/ .
CTL, похоже, не имеет никакого влияния на это, потому что сервер всегда будет рекламировать все приемлемые имена CA, независимо от того, есть ли они в CTL или нет.
Решение
- .
- запустить MMC как администратор на сервере.
- Добавить дополнение сертификатов, выбирая учетную запись компьютера.
- в каждой из подпапок, для каждого из сертификатов вы не хотите быть включены:
- .
- Если предполагаемое назначение имеет или содержит аутентификацию клиента:
- .
- Щелкните правой кнопкой мыши на сертификате
- Убедитесь, что «включить только следующие цели» выбрано
- Если предполагаемое назначение имеет или содержит аутентификацию клиента:
- Снимите флажок «Аутентификация клиента»
- Нажмите ОК.
Мне пришлось сделать это более 400 сертификатов на двух серверах ... дважды (потому что GPOS перезагружает мои настройки).
Не связан с StackOverflow