我在 2003 Server 上使用 IIS 6。
该网站使用 SSL。我认为它工作正常:当用户在 XP 计算机上连接到网站时(https://www.my_soc.local),则获取第一页。
我的问题:我现在想让用户验证网站身份。我已经使用 openssl 创建了证书,并在 XP 机器上安装了个人证书。我在 MMC“证书 - 用户”和“证书 - 机器”的“所有”目录中以及 Web 浏览器(IE 和 Firefox)中安装了“.p12”。在所有地方,证书都是“有效的”(我已在所有地方安装了 CA 的证书)。
我已经在 IIS 上完成配置以进行身份验证:需要客户端证书、映射 1 对多(映射到“管理员”)、取消激活“集成 Windows 身份验证”。
当 XP 尝试获取第一页时,使用 IE 8 和 Firefox 3.6 时出现 403.7 错误(该页面需要用户证书)。
使用“旧” XP SP2,我获得一个“选择证书”窗口,但窗口中没有出现任何证书。
在 openssl 中,为了创建和签署用户证书,我使用:
keyUsage = digitalSignature、nonRepudiation、keyEncipherment、dataEncipherment extendedKeyUsage = clientAuth、emailProtection
是否可以在服务器或客户端 XP 上保存日志,以获取有关该问题的更多信息?
谢谢大家。
此致。
答案1
我找到解决办法了。
这似乎是关于 crl 的问题。
我已经创建了一个“crl.crl”文件,并已安装在 XP 和 2003 Server 中(在“MMC 证书 - 本地计算机”中,在“中间机构”\“证书吊销列表”中 - 我更喜欢在这里给出法语的真实名称,而不是翻译并给出错误的翻译)。
我已经在 MMC 证书“本地用户”中安装了“.p12”用户文件:Perso\Certificates。
我已经在 MMC 证书“本地用户”和“本地计算机”中安装了“.p12”CA 文件:Autorités de certification racines de confiance \ Certifications。
现在一切正常。
谢谢大家。
此致。