Fatal编程技术网
  • iis-7/
  • Iis 7 证书信任列表和IIS7

Iis 7 证书信任列表和IIS7

iis-7 ssl

Iis 7 证书信任列表和IIS7,iis-7,ssl,ctl,Iis 7,Ssl,Ctl,我需要生成一个用于IIS7的CTL 我使用MakeCTL(在win2k3sdk上)生成了一个CTL文件,并将我自己的RootCA证书放在CTL中 但是,当我使用adsutil.vbs将我的网站设置为使用此CTL时,我得到: 错误号:-2147023584(0x80070520) 尝试设置属性时出错:SslCtlIdentifier 我使用的adsutil.vbs如下所示: cscript adsutil.vbs设置w3svc/2/SslCtlIdentifier CTL的友好名称在哪里 问题是,

我需要生成一个用于IIS7的CTL

我使用MakeCTL(在win2k3sdk上)生成了一个CTL文件,并将我自己的RootCA证书放在CTL中

但是,当我使用adsutil.vbs将我的网站设置为使用此CTL时,我得到:

错误号:-2147023584(0x80070520) 尝试设置属性时出错:SslCtlIdentifier

我使用的adsutil.vbs如下所示:

cscript adsutil.vbs设置w3svc/2/SslCtlIdentifier CTL的友好名称在哪里

问题是,我无法设置友好的名称。在向导的末尾显示“友好名称:”

在IIS6中,我可以创建一个具有友好名称的CTL(在证书MMC中显示),但是如果我从那里导出它,当我导入它时,它不再具有友好名称

有人能告诉我怎么做吗?

我遇到了完全相同的问题,也很难找到答案

似乎没有文档化的方法可以使用MakeCTL为证书信任列表创建友好的名称。唯一有文档记录的将CTL添加到IIS7的方法是使用上面提到的adsutil脚本Neil,但它需要一个友好的名称。我想我们可以用一种程序化的方式来实现这一点,但我不想深入研究

这个问题的核心是IIS7似乎已经失去了对CTL的青睐,否则它将有一些UI支持。人们是否在结合客户端证书使用CTL的替代方案

我觉得很奇怪这对IIS7来说不是个大问题

更新: 我终于回到这一点,并已解决了友好的名称问题。要获得一个友好的名称,您必须将CTL存储在证书存储中,而不是存储到文件中(我以前一直使用文件方法)。因此,在向导模式下使用MakeCTL(无参数)并在“证书信任列表存储”页面上选择“证书存储”,将生成一个新页面,让您指定一个友好的名称

因此,我现在在LocalMachine的“中间证书颁发机构”证书存储中有一个CTL。现在我尝试使用“netshhttpaddsslcert”将CTL分配给我的站点

在使用此命令之前,我必须删除分配给我的站点进行服务器身份验证的现有SSL证书。然后,在我的netsh命令中,我指定了我删除的同一个SSL证书的指纹,加上一个虚构的appid,再加上'sslctlidentifier=MyCTL sslctlstorename=CA'。生成的命令是:

netsh http add sslcert ipport=10.10.10:443 certhash=adfdffa988bb50736b8e58a54c1ac26ed005050 appid={ffc3e181-e14b-4a21-b022-59fc669b09ff}sslctlidentifier=MyCTL sslctlstorename=CA

(IP地址被屏蔽),但我收到了以下错误:

SSL证书添加失败,错误:1312指定的登录会话不存在。它可能已经被终止。

我确信这个错误与CTL选项有关,因为如果我删除它们,它会起作用(当然没有分配CTL)

谁能帮我迈出最后一步,让这一切顺利进行

更新01-07-2010:我从未用IIS 7.0解决过这一问题,后来将我们的应用程序迁移到IIS 7.5,我将再次尝试。我在测试服务器上安装了IIS6兼容性,并尝试了使用adsutil.vbs记录的步骤。我立即遇到了与Niel在上面所做的相同的错误:

ErrNumber:-2147023584尝试设置属性时出错:SslCtlIdentifier

运行此命令时:

adsutil.vbs设置w3svc/1/SslCtlIdentifier MyFriendlyName

然后,我继续尝试文档中的下一个adsutil.vbs命令,但失败了,出现了相同的错误

我已验证我创建的CTL具有友好名称MyFriendlyName,并且它存在于LocalComputer的“中间证书颁发机构\证书信任列表”存储中

所以我又一次陷入了停滞。我不知道还能尝试什么。有没有人让CTL使用IIS7或7.5?曾经我是在打一匹死马。谷歌只能找到我自己的帖子和其他类似的故事

2010年8月6日更新-我现在可以确认KB981506解决了这个问题。有一个与此KB关联的修补程序必须应用于Server 2008 R2计算机才能启用此功能。一旦安装好,我的所有功能都会完美无瑕。

这应该可以在IIS 7.0上使用,但可能无法在IIS 7.5上使用。
请让我们知道此页面是否有用-

问题是关于IIS7的,但对于从IIS8中查找此信息的任何人来说,您不再需要使用CTL,而是使用证书存储中的“客户端身份验证颁发者”

这是更详细的记录:

啊,终于有人记录了正确的步骤。在过去的几周里,我一直在与微软合作解决这个问题,结果发现这是IIS 7.5的一个bug,但似乎可以与IIS 7.0一起使用。虽然我还没有确认这些说明的每一步,但在快速回顾之后,看起来都很准确。谢谢viisual.如果那页还在网上就好了。。。或者存档在Wayback机器里我找到了。下载链接仍然有效。