我有一份来自 startssl 的客户端证书。我可以使用该证书和 Firefox 登录到他们的控制面板。
但是,在我的 asp.net 网站上,只有在使用 IE 或 Chrome 而不是 Firefox 时,系统才会提示我输入证书。
我在另一台电脑上进行了第二次测试,所以我查看了 FF 证书颁发机构。我发现缺少中间证书颁发机构。为什么 FF 不自动下载它们?在 IIS 上是否需要配置某些内容?
更新:我发现了这个http://forums.mozillazine.org/viewtopic.php?f=38&t=474407 关于证书链。IIS 可以强制发回整个链吗?
startssl 是如何做的,因为他们自动安装了我的客户端证书?
答案1
您可以在首选项的加密面板中设置 Firefox,让其在每次请求客户端证书时提示您。这将有助于排除故障。
浏览器无需下载中间证书,因为任何已颁发证书的服务器通常都会发送整个证书链,从服务器证书开始,到 CA 结束。浏览器会验证此证书链是否与 CA 证书相符,然后检查该证书是否是受信任的 CA。中间证书无需明确信任(或存储),因为它是由受信任的 CA 签名的。
如果您还没有这样做,则可能需要将 IIS 设置为需要客户端证书(而不仅仅是接受)。