简单说一下原理。
一般原则:
使用SSL,当用户使用浏览器访问web服务器时,将在客户端和服务器之间建立一个安全的SSL通道。在SSL会话时:
在第一步中,服务器将发送其服务器证书,客户端将自动分析服务器证书以验证服务器的身份。
在第二步中,服务器将要求浏览器显示客户端证书。服务器完成客户端证书验证后,将对用户进行身份验证。认证是对客户端证书的验证,包括验证。
客户端证书是否由新服务器的证书颁发机构颁发,客户端证书是否有效,客户端证书是否有效(被篡改等。)以及客户端证书是否已被
被服务器撤销等。认证后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表,决定是否授权访问。
Iis返回403。13由于客户端证书被吊销,验证失败,所有客户端无权访问。
IIS无法连接到CA的CRL,导致所有证书被视为无效。如果是在测试环境中,可以选择禁止IIS检查CRL。如果是在正式的运行环境下,需要CA的管理员来解决。一旦禁用IIS来检查CRL,这意味着IIS信任的证书颁发机构颁发的所有证书只有在没有过期的情况下才会被IIS视为有效。这在正式的运行环境中是非常危险的,因为不能保证CA永远不会撤销它已经颁发的任何证书。
1.首先确认系统安装的服务。
步骤:右键单击“我的电脑”和“管理”,在左侧选择“角色”,如下所示
请确认角色服务中安装了以下服务:
2.具体操作步骤:“开始”和“运行”输入cmd,点击确定,进入dos界面。
(1)使用CD命令进入AdminScripts文件夹。
示例:cd C:\Inetpub\AdminScripts
(2)输入:cscriptadsutil . VBS set w3svc/certcheckmode 1(win 2003 is 6)
(3)cscript adsutil.vbs设置w3svc/n/CertCheckMode 1(win 2008 IIS 7)
n代表网站ID
注意:CertCheckMode值为0,这将强制进行CRL检测。
CertCheckMode的值为1,强制不检测CRL。