背景:我有一个网站,该网站在 IIS6 中为特定子目录设置了客户端证书映射,用于下载某些受隐私保护的文件。有两个独立的客户端使用该下载,几个月前它已经全部设置完毕并运行良好。服务器的 SSL 证书和客户端数字 ID 证书均由 Verisign 提供。
然后,其中一个客户端证书当然过期了。我像上次一样再次从 Verisign 下载了公共证书,安装了新的(更多位!)中间证书,客户端证书在服务器上显示为“有效”。客户端(远隔重洋)也安装了新的中间证书,并在客户端上显示为有效。我们之前做了什么让它工作了吗?只是新的客户端证书总是抛出 403.16 错误,“客户端证书格式错误或不受 Web 服务器信任。”
反复检查证书后,我注意到新证书中有一行“OU = 数字 ID 类 1 - Netscape 完整服务”,而该客户的旧证书已过期,而另一客户的仍在使用的证书则显示“OU = 数字 ID 类 1 - Microsoft 完整服务”。那么,两者有什么区别呢?使用以某种方式安装到 IE 中的 Netscape 数字 ID(我怀疑正在发生这种情况)是否会导致此问题?客户说他们已经与 Verisign 谈过了,Verisign 说它们“相同”。嗯。如果它们如此相似,那么为什么注册 Verisign 数字 ID 的第一步是选择 IE 或 Netscape?
如果有关于此问题的一些文档可供参考,我将不胜感激。我似乎无法通过 Google 搜索到任何文档。这是因为大多数人意识到在 IE 中安装 Netscape 证书可能行不通吗?
我有自己的客户端证书,该证书不是由 Verisign 提供的,我能够安装适当的中间证书并针对此子目录/映射进行测试 - 但我很确定,如果在 IE 和 Netscape 类型的证书之间进行选择,那么提供证书的这个特定组织会选择 IE。我使用 IE6 进行此测试。
答案1
在这种情况下,答案是“没关系,因为中间证书尚未正确安装”。就像http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/bb089a80-c8ba-4004-9c0f-f10fb6b36416.mspx?mfr=true- “证书向导”不够智能,无法在没有指导的情况下将中间证书放在正确的位置。即使在服务器上打开时客户端证书显示为有效,即使 SSLDiag 显示客户端证书映射为正常。由于我读到有关列出有效证书以供协商的标题空间有限的其他内容,我修剪了一些过期的中间证书,并认为我在 MMC 的商店中看到了新的中间 G3 证书,但直到我单击向导中的所有框以“显示物理商店”时,它才出现在那里。