使用 HttpModule 要求 IIS 中的客户端证书才能进行非本地网络请求

Question

对于并非源自本地网络的任何请求，我需要在 IIS 中的站点上要求客户端证书。任何本地请求都不应需要客户端证书。有没有办法在 IIS 中做到这一点？我正在考虑将 IIS 配置为允许但不要求客户端证书，然后使用自定义 HttpModule 来检查原始 IP 地址并回退任何非来自不包含客户端证书的本地网络的内容。

那行得通吗？你会如何解决这个问题？

Answer 1

我有几种方法可以解决这个问题。您可以选择您喜欢的内容：

1. 复制该网站。其中一个应该要求客户端 SSL，而另一个则不需要。第二个应该禁用外部访问。

2. 为本地计算机安装客户端 ssl。这可能是最简单的，除非您在获取客户端证书时遇到一些基础设施问题。

3. 当 IIS 需要客户端 SSL 时，它会使用“需要客户端 ssl”类型消息来响应所有 HTTP 请求。然后，客户端（例如浏览器）通过传递所需的证书来更新其请求（例如显示证书的 IE 对话框）。您可以使用 HttpModule 来捕获本地请求的这些消息。