我在Windows Server 2012框上使用IIS 8.0。 这不是一个域join的机器,所以Active Directory不提供给我。
我已成功configuration证书身份validation。 在访问网站时,用户会看到可供select的证书列表,服务器上的证书信任列表(CTL)具有它所信任的中间和根CA.
我的问题是:如何限制只有特定用户才能成功进行身份validation? 例如,如果我们有五个由同一个CA颁发的用户证书,但是我仍然只想限制访问这个网站给这五个人中的三个。 它可以是基于位于X.509证书中的任何唯一标识符(例如电子邮件,密钥ID,指纹)的访问列表,
我不知道如何实现这种行为。 我发现这一点,但我不知道这是否是正确的path下去…: http : //www.iis.net/configreference/system.webserver/security/authentication/iisclientcertificatemappingauthentication
任何人都可以指向正确的方向吗?
你从错误的方向考虑这个问题。 证书authentication是用户名/密码或ADauthentication的替代或增强。 当用户连接到您的站点并显示证书时,用户将以证书映射到的用户身份login。
因此,如果您有3个用户希望能够使用您的网站,您的Web应用程序必须作出决定(就像它使用用户名/密码authentication一样),或者您可以创build一个AD组,并将3在其中的人,并设置文件夹的安全性,只允许该组。