IIS 上的客户端证书 - 不确定我是否明白 - 有经验吗？

Question

寻找一些有关使用客户端证书来改进现有应用程序的访问控制的建议。

我们公司有一个现有的 Intranet 应用程序（经典 ASP/IIS），我们将其授权给其他人。 到目前为止，它已托管在使用它的每个组织内，安全性包括“如果您能够访问内联网，您就能够访问应用程序”。

我现在正在寻找一种在外部托管此应用程序的方法，以便其他不想自己托管它的组织可以使用它（每个新客户端都有自己的安装）。

新组织中的所有用户都将拥有客户端证书，因此我想做的是使用 IIS 中的“需要客户端证书”内容。 它允许您说“如果 Organization=BigClientX，则假装他们是本地用户Y”。

我更喜欢的是“如果 Organization=BigClientX 那么让他们访问 virtualdirectoryZ 中的资源，否则忽略它们”。

我很乐意购买一个插件（也许是 ISAPI 过滤器？），如果这是最好的方法，它可以为我做到这一点。 欢迎任何建议/战争故事。

Answer 1

您可能想要这样做。 客户端证书实际上是用于身份验证的第二个因素，而不是主要来源。 换句话说，您仍然需要配置应用程序进行基本或表单身份验证。

公钥/私钥背后的技术坚如磐石。 但是，您需要一个非常成熟的 IT 组织来处理证书生命周期管理。 如果您没有这个，您将遇到无数的失败场景，因为证书已过期，未复制到新计算机等。

在您的应用程序面向互联网的场景中尤其如此（在“托管”场景中） ) - 您对向用户颁发证书几乎没有控制权。

Answer 2

我做过类似的事情...

从组织的域控制器内部生成证书。 将它们导出为 PFX 格式以供分发，以及 CER 格式以供导入到 IIS 中。

将 PFX 格式导出与 DC 的 CA 证书一起分发，以便您的客户计算机将“信任”您的 CA。

现在，在应用程序属性 IIS 中，转到目录安全选项卡，然后在“安全通信”下单击“编辑”。 在其中，单击“接受客户端证书”、“启用客户端证书映射”，然后单击“编辑”。

在“1对1”选项卡下，单击“添加”并导入CER文件。 输入您想要将此证书映射到的帐户。

至于“让他们访问资源”，我建议通过他们映射的用户帐户来实现这一点 - 也就是说，您可以通过 NTFS 权限或通过识别安全性的代码来提供对基于该帐户的资源的访问登录用户的上下文。