在 IIS 7.5 上,通过证书进行客户端身份验证,如何启用将客户端证书的指纹(或序列号或主题 DN)记录到 IIS 日志中?
答案1
虽然我对 IIS 并不精通(我主要处理 Apache),但我希望这是一种自定义日志记录之类的东西。
以下页面记录了 IIS 的一些高级日志记录功能;虽然它没有在屏幕截图中显示 SSL 内容,但它可能仍然有用。
http://www.iis.net/learn/extensions/advanced-logging-module/advanced-logging-for-iis-custom-logging
还请注意有关 IIS 服务器变量的文档,我希望能够在自定义日志记录情况下记录这些文档。
https://msdn.microsoft.com/library/ms524602.aspx
该页面确实列出了各种客户端身份验证服务器变量。
干杯,卡梅伦
答案2
您可以使用服务器变量来记录 CERT_COOKIE(唯一标识符)以及证书的传入主题和颁发者主题。
但是,CERT_Cookie 由 IIS 生成,不包含指纹。
高级日志记录(日志记录工具)设置中可能的值: https://docs.microsoft.com/en-us/iis/web-dev-reference/server-variables
(所以我们的 CA 证书为何被拒绝对我们来说仍然是个谜。)