12
我有一个IIS设置为只接受带SSL证书的客户端连接。我有一个在IIS上运行的WCF服务。我在服务器可信CA中拥有一个证书颁发机构。 现在,当客户端连接到服务时,IIS是否验证客户端证书是由我的一个受信任的CA颁发的?或者我必须在我的WCF服务中进行验证?IIS执行SSL证书检查还是必须验证它?
此外,如果我只想要服务只有接受来自一个特定CA(不是我所有信任的CA,只有一个)的连接,我需要在服务代码中进行验证吗?
A
回答
15
如果您配置IIS要求相互HTTPS(SSL与客户端证书)的IIS/HTTP.SYS负责验证证书和客户端证书必须是在信任的人商店或必须由受信任的CA颁发在建立SSL连接的安全握手期间验证证书。当IIS用于托管WCF服务时,此验证在WCF之外完成(如果是自托管,则可以使用custom certificate validation)。
如果您想限制对服务的访问仅限于有限的客户端子集(使用仅由单一CA颁发的证书),您应该将此需求从身份验证(验证证书)移至您的WCF服务中的授权= custom AuthorizationPolicy验证证书是由正确的CA颁发的=客户端有权调用您的服务。
可信发行人可以在系统级还被配置为与netsh - 检查sslctlidentifier和sslctlstorename。对于整个端口(网站),此配置将是全局的,因此如果您有多个Web应用程序或具有不同要求的服务托管在同一端口上,则这不会成为您的选择。
3
是,IIS验证的相互验证客户端证书,你没有检查它在你的web服务代码。
检查this article,它会更清楚。
相关问题
- 1. NSMutableURLRequest检查Https SSL证书验证
- 2. SSL证书IIS
- 3. SSL证书签名验证
- 4. Android验证SSL证书
- 5. SSL证书验证编程
- 6. Libcurl SSL证书验证
- 7. SSL证书验证Urllib2
- 8. IIS 6到IIS 7.5导出SSL证书
- 9. 验证服务器是否必须始终检查凭据时,验证JavaScript验证的重点是什么?
- 10. NLTK下载SSL:证书验证失败
- 11. 如何验证SSL Java证书
- 12. Heroku +无法验证api.heroku.com的SSL证书
- 13. 绕过python的SSL证书验证
- 14. Graphlab get_dependencies()SSL证书验证失败
- 15. svn SSL错误:证书验证失败?
- 16. 关闭Ruby中的SSL证书验证
- 17. 在Scrapy中禁用SSL证书验证
- 18. 验证SSL证书的问题
- 19. NSURLSession中的SSL证书验证
- 20. 如何在python中验证SSL证书?
- 21. 验证远程网站的SSL证书
- 22. 验证SSL证书与Kohana失败
- 23. 验证iOS中的SSL证书
- 24. 使用Python验证SSL证书
- 25. SSL客户端证书验证优化
- 26. 你如何验证数字证书SSL?
- 27. healthgraphic API SSL证书验证失败
- 28. 检查SSL证书的到期日期
- 29. 检查SSL证书到期日期
- 30. 检查自签名证书(SSL,C#)