当前位置：文江博客话题详情

使用 SSL 和客户端证书身份验证保护 ASP.NET MVC 应用程序

发布于 2024-12-10 23:50:47 字数 277 浏览 0 评论 0原文

我希望通过 SSL 和客户端证书身份验证来保护 ASP.NET MVC 应用程序的安全。我使用的是 IIS 7.5、Windows Server 2008 R2。

我想知道是否可以通过 Web.config 执行以下操作（必须通过那里！）

要求所有请求进行 SSL 通信
将多个客户端证书映射到单个用户
要求对用户进行身份验证

另外，任何指针关于如何继续这样做，任何教程或其他相关资源将不胜感激，因为我对几乎所有这些事情都是新手。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

青春有你 2024-12-17 23:50:47

所以，回答我自己的问题..以上所有内容都可以通过Web.config来实现。 Web.config 的以下部分需要通过系统/访问部分使用 SSL，并配置多对一客户端证书映射。这些部分被锁定在 applicationHost.config 中，因此任何希望在 Web.config 中编辑它们的人都需要解锁它们。这方面的教程有很多，我就不赘述了。

        <security>
            <access sslFlags="Ssl, SslNegotiateCert" />
            <authentication>
                <anonymousAuthentication enabled="false" />
                <iisClientCertificateMappingAuthentication enabled="true" manyToOneCertificateMappingsEnabled="true">
                    <manyToOneMappings>
                        <add name="Authentication Certificate"
                             enabled="true"
                             permissionMode="Allow"
                             userName="foo"
                             password="bar">
                            <rules>
                                <add certificateField="Issuer" certificateSubField="CN" matchCriteria="*.stackoverflow.com" compareCaseSensitive="false" />
                            </rules>
                        </add>
                    </manyToOneMappings>
                </iisClientCertificateMappingAuthentication>
            </authentication>
        </security>

So, to answer my own questions.. all of the above can be achieved through the Web.config. The following section of the Web.config requires SSL through the system/access section, and configures many-to-one client certificate mapping. These sections are locked in the applicationHost.config so anyone wishing to edit them in the Web.config will need to unlock them. There are many tutorials on that so I won't go into it.

        <security>
            <access sslFlags="Ssl, SslNegotiateCert" />
            <authentication>
                <anonymousAuthentication enabled="false" />
                <iisClientCertificateMappingAuthentication enabled="true" manyToOneCertificateMappingsEnabled="true">
                    <manyToOneMappings>
                        <add name="Authentication Certificate"
                             enabled="true"
                             permissionMode="Allow"
                             userName="foo"
                             password="bar">
                            <rules>
                                <add certificateField="Issuer" certificateSubField="CN" matchCriteria="*.stackoverflow.com" compareCaseSensitive="false" />
                            </rules>
                        </add>
                    </manyToOneMappings>
                </iisClientCertificateMappingAuthentication>
            </authentication>
        </security>

回复收藏 0 原文

月光色 2024-12-17 23:50:47

按顺序进行：

所有请求都需要 SSL 通信 - 是。在 IIS 中，将站点设置为仅使用 https 绑定，并删除 http 绑定。该站点不会响应 http 请求。如果您这样做，您应该创建一个脚本将 403.4 错误从 http://mysite.com 重定向到 https://mysite.com。您可以找到许多有关如何使用各种工具执行此操作的示例。
将多个客户端证书映射到单个用户 - 我不知道。我将传递这个。
要求用户进行身份验证 - 是。在 web.config 文件的元素中，添加以下内容：
```
 <授权>
     <拒绝用户=“？”/>
 
```

Going in order:

Require SSL communication for all requests - Yes. In IIS, set the site with only an https binding, and delete the http binding. The site will not respond to http requests. If you do this, you should create a script to redirect 403.4 errors from http://mysite.com to https://mysite.com. You can find many examples of how to do this using various tools.
Map multiple client certificates to a single user - I dunno. I will pass on this one.
Require the user to be authenticated - Yes. In the web.config file, in the <system.web> element, add the following:
```
 <authorization>
     <deny users="?"/>
 </authorization>
```