Я пытаюсь настроить аутентификацию с помощью смарт-карты для созданного мной веб-сайта. Установив аутентификацию для Windows и задав требуемый SSL, я могу заставить устройство чтения смарт-карт появляться, когда они заходят на веб-сайт. Однако на карте есть 2 учетных данных, и только один из них отображается в качестве опции (информация, которая мне нужна, находится на других учетных данных). Я спросил коллегу, и он сказал, что в IIS 6 есть способ указать местоположение на смарт-карте для поиска сертификатов. Я изучаю эту проблему уже около недели, но пока не смог найти решение этой проблемы. Кто-нибудь знает как это сделать?
Выберите сертификат с проверкой подлинности смарт-карты IIS7 Server 2008
Ответы (2)
IIS действительно знает только об аутентификации на основе сертификатов, а не о смарт-картах как таковых (что на самом деле является просто формой аутентификации на основе сертификатов). Настройте свой сайт для использования проверки подлинности на основе сертификатов, например, «Требовать клиентские сертификаты», и IIS свяжет вызов с системой безопасности Windows, которая, в свою очередь, распознает, что одним из источников сертификатов удостоверения является устройство чтения смарт-карт. В зависимости от требований вашего сайта вам также может потребоваться включить сопоставление сертификатов, которое преобразует сертификаты в идентификаторы учетных записей Windows.
person
David W
schedule
26.09.2012
Дэвид, эта тема вроде про IIS7, а не 6. А еще он успешно доходит до сертификата на карточке. Но только один из двух, как я понял.
- person Erik Kaju; 26.09.2012
Я удалил 6 из обозначения IIS. ОП заявил, что ему сказали, что IIS6 разрешает указывать источник на смарт-карте для чтения сертификата, и мой ответ состоял в том, чтобы указать, что ни IIS6, ни IIS7 конкретно не знают о смарт-картах; они знают об аутентификации на основе сертификатов. Смарт-карта — это просто транспортное средство с сертификатами.
- person David W; 26.09.2012
Глядя прямо на карту на моем компьютере, на ней 3 сертификата. Я настроил сопоставление, пытаясь использовать этот способ, я мог видеть карты раньше, но нужный мне сертификат не был указан. Где-то в этом процессе я внес изменение, поэтому смарт-карта больше не отображается. Я пытаюсь показать его снова, чтобы увидеть, какие варианты доступны сейчас. Я дам вам знать, когда я снова покажу его.
- person Matt Bodily; 26.09.2012
с ssl, установленным для принятия, и аутентификацией, установленной для Windows, я получаю имя пользователя и пароль вместе со смарт-картами на сервере. клиент показывает только имя пользователя и пароль. изменение этого на обязательное ничего не вызывает ни в одном месте (голова попадает на стол).
- person Matt Bodily; 26.09.2012
когда я устанавливаю его на требование, мне ничего не предлагается. Мы думаем, что на данный момент у нас может быть плохой сервер. Большое вам спасибо за вашу помощь.
- person Matt Bodily; 27.09.2012
Рад, что был чем-то полезен. Удачи.
- person David W; 27.09.2012
установил новый сервер и теперь все работает правильно. Большое спасибо за информацию о картографии.
- person Matt Bodily; 02.10.2012
Когда сертификаты требуются (или принимаются), IIS запрашивает сертификат клиента при согласовании SSL при запуске сеанса. IIS отправит клиенту список центров сертификации, которым он доверяет. Затем клиент берет их и смотрит, какие из них соответствуют списку центров сертификации, которым он доверяет. Затем он берет список общих записей и проверяет, есть ли у него какие-либо сертификаты, выданные ЦС, которым доверяют обе стороны. Как правило, если их нет, он просто не отправит сертификат, и запрос завершится ошибкой, если сертификат требуется. Если есть только один сертификат, IE обычно отправляет его, не спрашивая клиента, какой сертификат отправить, но при необходимости запросит PIN-код. Наконец, если существует более одного сертификата, выданного ЦС, которому обе стороны доверяют, то клиенту будет представлено диалоговое окно с вопросом, какой сертификат использовать.
В этом случае это звучит так, как будто учетные данные (сертификат), которые вы хотите отправить клиенту, выданы центром сертификации, которому не доверяют ни одна, ни обе стороны.
person
David Dietz
schedule
01.10.2012
