我在 Windows Server 2008 IIS7 上有一个 ASP.NET Web 应用程序主机,一切运行良好。
我想拒绝浏览器(IE/Firefox 等)中未安装 SSL 证书的用户
例如,有 10 名员工允许访问该网站。我必须执行以下操作。
- 使用 OpenSSL 生成 pkcs12 证书 (*.pfx)
- 使用 IIS 服务器管理器安装 pfx。
- 将站点绑定到 https 并选择安装在 (2.) 上的服务器证书
- 在站点 -> SSL 设置 -> 选中需要 SSL 并勾选需要选择。
似乎有效,IIS 响应:
403 - 禁止访问:访问被拒绝。您无权使用您提供的凭据查看此目录或页面。
但是我如何为这 10 个用户生成 SSL 证书以安装到他们的浏览器中?使用 OpenSSL 似乎无法从 *.pfx 生成 *.crt。
谢谢
答案1
pfx 包含密钥和证书,您需要将两者导出到 PEM,然后根据需要从 PEM 中提取 crt。
openssl pkcs12 -in mycert.pfx -out mycert.pem
但是,您可能想要切换到(如果尚未使用)基于服务器证书的“正确”客户端证书。
此链接包含有关该主题的一些信息(针对 Apache / OpenSSL,但在 IIS 上可能类似):http://www.freebsddiary.org/openssl-client-authentication.php