Комментарии 12
замечательно и позновательно :)
кстати, а крайний IIS умеет быть fcgi бакендом? :)
кстати, а крайний IIS умеет быть fcgi бакендом? :)
Спасибо за хорошую статью.
В дополнение к статьи несколько полезных команд:
inetmgr — оснастка iss
certmgr.msc — оснастка сертификаты
В дополнение к статьи несколько полезных команд:
inetmgr — оснастка iss
certmgr.msc — оснастка сертификаты
Спасибо за статью. Задумался о применении подобной аутентификации на одном из проектов :)
Хотел задать вопрос о кросс-платформенности/кросс-браузерности, но нашёл аналогичную статью для Apache / Firefox+Safari.
Хотел задать вопрос о кросс-платформенности/кросс-браузерности, но нашёл аналогичную статью для Apache / Firefox+Safari.
Такое ощущение, что схожие задачи возникают у многих людей одновременно. Буквально пару недель назад проделывал те же самые шаги, что описаны в статье, только «обложившись мануалами»
А можно ли как-то переопределить окно выбора сертификата?
Нужна примерно такая логика работы:
1) Пользователь переходит на страницу где отображаются все установленные в системе сертификаты.
2) Пользователь выбирает подходящий сертификат и пробует войти с ним.
3) Если серт правильный то пользователю прописываются куки и он дальше работает с системой.
Примерно такая логика реализована в системе сдачи налоговой отчетности Контур-Экстерн.
Нужна примерно такая логика работы:
1) Пользователь переходит на страницу где отображаются все установленные в системе сертификаты.
2) Пользователь выбирает подходящий сертификат и пробует войти с ним.
3) Если серт правильный то пользователю прописываются куки и он дальше работает с системой.
Примерно такая логика реализована в системе сдачи налоговой отчетности Контур-Экстерн.
Работает ли маппинг many-to-one в IIS с сертификатами, созданными в
У меня не работает (IIS 7.5). Работает почему-то только с теми, что созданы
openssl?У меня не работает (IIS 7.5). Работает почему-то только с теми, что созданы
makecert… или one-to-one (где указывается Base64 сертификата).
Ваша статья лучшая на эту тему, что я нашёл.
Так как при настройке я столкнулся с проблемами, напишу тут, что помогло их решить:
1) пара советов отсюда:
switch-case.ru/59638860
— Удалить несамоподписанные сертификаты из списка корневых доверенных
Найти их можно такой командой Powershell:
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
— Почистить список доверенных корневых сертификатов или отключить листинг
Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Value name: SendTrustedIssuerList Value type: REG_DWORD Value data: 0
ещё странно:
вроде после этого заработало, но потом опять вылезали проблемы.
я полез включать трассировку, установил ASP и CGI и модуль трассировки — и проблемы ушли целиком.
Трассировать не пришлось ничего :(
Инструкция по настройке трассировки, которая может помочь, если проблемы останутся (в логе будет писаться, почему не принят клиентский сертификат):
docs.microsoft.com/en-us/iis/troubleshoot/using-failed-request-tracing/troubleshooting-failed-requests-using-tracing-in-iis
Так как при настройке я столкнулся с проблемами, напишу тут, что помогло их решить:
1) пара советов отсюда:
switch-case.ru/59638860
— Удалить несамоподписанные сертификаты из списка корневых доверенных
Найти их можно такой командой Powershell:
Get-Childitem cert:\LocalMachine\root -Recurse |
Where-Object {$_.Issuer -ne $_.Subject}
— Почистить список доверенных корневых сертификатов или отключить листинг
Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL Value name: SendTrustedIssuerList Value type: REG_DWORD Value data: 0
ещё странно:
вроде после этого заработало, но потом опять вылезали проблемы.
я полез включать трассировку, установил ASP и CGI и модуль трассировки — и проблемы ушли целиком.
Трассировать не пришлось ничего :(
Инструкция по настройке трассировки, которая может помочь, если проблемы останутся (в логе будет писаться, почему не принят клиентский сертификат):
docs.microsoft.com/en-us/iis/troubleshoot/using-failed-request-tracing/troubleshooting-failed-requests-using-tracing-in-iis
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настраиваем в IIS авторизацию по клиентским сертификатам при помощи OpenSSL