IIS 7.5客户端证书身份验证

我的本地机器上有asp.net网站。

IIS配置：绑定：使用自签名证书的https绑定，ssl设置：需要SSL和要求客户端证书

我在我的计算机上安装了下一个证书：CA证书（称为“CA中心”）位于受信任的根证书颁发机构商店中。 由个人商店中的'CA Center'颁发的客户端证书

我去网站并接受服务器证书。 但接下来我得到错误：

HTTP错误403.7 - 禁止。 您尝试访问的页面需要您的浏览器具有Web服务器可识别的安全套接字层（SSL）客户端证书。

这意味着浏览器（IE）不会将适用的客户端证书发送到服务器。

怎么了？ 我应该配置别的东西吗？

---

我确实有这个问题，并且花了我一个时间来找出原因。 原来，这是因为我的电脑是域的一部分，并且该域的某种组策略限制了IIS愿意接受的受信任的根证书。 我不确切知道该设置或如何更改，但我发现可以通过选择使用certutil命令将证书安装到企业物理存储中来解决该问题：

certutil -addstore -v -enterprise root CertificateAuthority.cer

---

这听起来像浏览器从来没有提示你选择一个客户端证书发送，这意味着SSL握手有些不正确。 尝试使用OpenSSL进行测试。

另外，一个非常常见的问题是在受信任的根CA文件夹中有太多的证书。 当服务器发送CA列表时，限制列表可能有多大，如果超出限制，它将截断剩余的CA证书。 确保受信任的根CA文件夹没有太多证书。 一种检查方法是暂时修改注册表编辑器中的SCHANNEL以不发送CA列表，然后重新尝试。

开始>运行>'regedit'> HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL>右键单击>新建> DWORD>'SendTrustedIssuerList'>值：0

---

我想我有同样的问题让Internet Explorer在使用自签名证书测试WCF客户端/服务器设置时实际创建我的已安装证书的提示。

如果我正确地记得它是在Internet Explorer中的一个设置，可能是这个...

工具> Internet选项>高级选项卡>安全部分

然后清除以下复选框：

'检查发布者的证书撤销'和'检查服务器证书撤销'

链接地址: http://www.djcxy.com/p/68723.html

上一篇: IIS 7.5 Client certificate authentication

下一篇: IISExpress returns a 503 error from remote machines