Я пытаюсь настроить аутентификацию с помощью смарт-карты для созданного мной веб-сайта. Установив аутентификацию для Windows и задав требуемый SSL, я могу заставить устройство чтения смарт-карт появляться, когда они заходят на веб-сайт. Однако на карте есть 2 учетных данных, и только один из них отображается в качестве опции (информация, которая мне нужна, находится на других учетных данных). Я спросил коллегу, и он сказал, что в IIS 6 есть способ указать местоположение на смарт-карте для поиска сертификатов. Я изучаю эту проблему уже около недели, но пока не смог найти решение этой проблемы. Кто-нибудь знает как это сделать?
Выберите сертификат с проверкой подлинности смарт-карты IIS7 Server 2008
Ответы (2)
IIS действительно знает только об аутентификации на основе сертификатов, а не о смарт-картах как таковых (что на самом деле является просто формой аутентификации на основе сертификатов). Настройте свой сайт для использования проверки подлинности на основе сертификатов, например, «Требовать клиентские сертификаты», и IIS свяжет вызов с системой безопасности Windows, которая, в свою очередь, распознает, что одним из источников сертификатов удостоверения является устройство чтения смарт-карт. В зависимости от требований вашего сайта вам также может потребоваться включить сопоставление сертификатов, которое преобразует сертификаты в идентификаторы учетных записей Windows.
Когда сертификаты требуются (или принимаются), IIS запрашивает сертификат клиента при согласовании SSL при запуске сеанса. IIS отправит клиенту список центров сертификации, которым он доверяет. Затем клиент берет их и смотрит, какие из них соответствуют списку центров сертификации, которым он доверяет. Затем он берет список общих записей и проверяет, есть ли у него какие-либо сертификаты, выданные ЦС, которым доверяют обе стороны. Как правило, если их нет, он просто не отправит сертификат, и запрос завершится ошибкой, если сертификат требуется. Если есть только один сертификат, IE обычно отправляет его, не спрашивая клиента, какой сертификат отправить, но при необходимости запросит PIN-код. Наконец, если существует более одного сертификата, выданного ЦС, которому обе стороны доверяют, то клиенту будет представлено диалоговое окно с вопросом, какой сертификат использовать.
В этом случае это звучит так, как будто учетные данные (сертификат), которые вы хотите отправить клиенту, выданы центром сертификации, которому не доверяют ни одна, ни обе стороны.