我正在尝试为我创建的网站设置智能卡身份验证。将身份验证设置为Windows并将SSL设置为必需我可以在访问网站时弹出智能卡读卡器。虽然卡上有2个凭证,但只有一个作为选项显示(我需要的信息在另一个凭证上)。我问了一个同事,他说在IIS 6中有一种方法可以在智能卡上指定一个位置来查找证书。我一直在研究这个问题大约一个星期,但还没有找到解决这个问题的方法。有谁知道怎么做?
答案 0 :(得分:2)
IIS真的只知道基于证书的身份验证,而不是智能卡本身(这实际上只是一种基于证书的身份验证)。配置您的站点以使用基于证书的身份验证,例如“需要客户端证书”,IIS将把呼叫链接到Windows安全性,而Windows安全性又识别出身份证书的来源是智能卡读卡器。根据您的站点要求,您可能还需要启用证书映射,将证书转换为Windows帐户身份。
答案 1 :(得分:1)
当需要(或接受)证书时,IIS将在会话启动时在SSL协商中请求客户端证书。 IIS将向客户端发送其信任的证书颁发机构列表。然后,客户端接收这些内容,并查看与其信任的证书颁发机构列表匹配的内容。然后,它会获取常见条目和检查列表,以查看它是否具有由CA双方信任的CA颁发的任何证书。通常,如果没有,它将不会发送证书,如果需要证书,请求将失败。如果只有一个证书,IE通常会在不询问客户端要发送哪个证书的情况下发送该证书,但如果需要,它将提示输入PIN。最后,如果CA发出的证书多于双方信任,则会向客户端提供一个对话框,询问使用哪个证书。
在这种情况下,听起来您希望客户端发送的凭据(证书)可能是由不受一方或双方信任的证书颁发机构颁发的。