Как использовать клиентские сертификаты для доступа к веб-сайту

Question

У меня есть веб-сайт, размещенный в IIS. Моя основная проблема заключается в том, что я хочу, чтобы только пользователи с определенным сертификатом устанавливали доступ к сайту. Я пытался следить за некоторыми учебниками, но я не могу найти никого, кто касается как сервера, так и клиента, поскольку я не могу заставить его работать.

У меня есть несколько вопросов к главному вопросу:

• Какой сертификат следует использовать (домен/самоопыление подписан в IIS 7.5)? У меня есть доступ к службам сертификации Active Directory, где я могу создавать сертификаты других типов (CA), но проблема заключается в попытке импортировать их в IIS («сертификат не может использоваться как сертификат сервера ssl»)

• Я хотел бы использовать сертификат CA, но возможно ли это при использовании IIS? Или мне нужно написать весь код, если у пользователя есть правильный сертификат?

• При создании сертификата для веб-сайта (например, хотя IIS). Как создать сертификаты пользователя, которым доверяет сертификат сервера?

Как вы заметили, я не знаю, как сделать все это, и очень хотел бы некоторую помощь ..

Answer 1

1. Сервер должен использовать сертификат сервера SSL. Этот сертификат должен иметь расширение Server Authentication в Extended key usage. Сертификат сервера должен иметь расширение SAN с именем домена сервера в качестве имени DNS (то есть somesite.com)
2. Сертификат ЦС должен быть импортирован в доверенное корневое хранилище (предпочтительно на локальном компьютере) как на сервере, так и на клиентских компьютерах.
3. Клиентский сертификат должен содержать Client Authentication расширение в Extended key usage.

Все сертификаты EndEntity (клиент и сервер) должны содержать CRL distribution point, в которых есть URL-адрес CRL, который выдается CA. CRL должен быть доступен как клиенту, так и серверу и должен быть всегда действительным.

Для тренировочных целей вы можете использовать XCA. Он имеет хороший графический интерфейс и имеет шаблоны для сертификатов CA, SSL-сервера и SSL-клиентов по умолчанию. Затем вы можете имитировать эти сертификаты в службах сертификации Active Directory. Документацию и некоторые руководства можно найти here.