在 IIS 6 中我能够使用以下技术:
- 启用客户端证书要求
- 使用 adsutil.vbs 弄清楚 IUSR_服务器用户密码是
- 创建证书到 IUSR_ 的一对一映射服务器帐户(这就是为什么我需要知道 IUSR 的密码)
- 禁用对网站的匿名访问
考虑到 IIS 7.x 中的所有重大更改,我假设现在必须创建到 ApplicationPoolIdentity 的客户端证书映射?无论如何:要创建映射,我需要指定用户名和密码,但是 IUSR 和 ApplicationPoolIdentity 的密码似乎都不存在?
我的目标是阻止没有特定客户端证书的人访问该网站。与此同时,我不是想要创建一个单独的 Windows 用户,配置 AppPool 以使用它作为身份,然后设置到该用户的一对一证书映射。相反,我想依赖 IIS 提供的现有身份。有什么想法吗?
答案1
ApplicationPoolIdentity 在网络上被视为 COMPUTERNAME$,它是一个虚拟帐户,因此没有密码。我不相信这对您的映射有用。
同时我不想创建单独的 Windows 用户、配置 AppPool 以使用它来作为身份,然后为该用户设置一对一的证书映射。
为什么你不想使用这种方法?这可能是你最好的选择。在 IIS7 中,你不需要将用户添加到 IIS_WPG 组。只需创建一个你管理的用户+密码并添加到应用程序池即可。
另外,对于您的身份验证/匿名设置,请将其设置为使用应用程序池标识。这样您就不必再担心 IUSR 了。只要您为每个站点提供自己的应用程序池,或者站点相互信任,那么您就可以使用此方法,并且少管理一个用户。