配置IIS以使用外部OCSP验证客户端证书_Iis_Certificate_Windows Server 2012 R2_Ocsp

配置IIS以使用外部OCSP验证客户端证书

iis certificate

配置IIS以使用外部OCSP验证客户端证书,iis,certificate,windows-server-2012-r2,ocsp,Iis,Certificate,Windows Server 2012 R2,Ocsp,我正在运行Windows 2012 R2环境，该环境在IIS中托管一个网站。该网站目前需要客户端证书（已验证）才能访问该网站检查客户端证书以确保其有效且未被吊销，而不是用于操作系统识别。如果用户提供有效的证书，则证书上的信息将用于在应用程序代码中对用户进行身份验证和标识（实际的身份验证是表单身份验证）。客户端证书没有映射到单个用户（例如，客户端证书没有映射到active directory帐户）该站点目前使用一个附加软件将客户端证书传递给外部OCSP，以验证证书状态我的目标是删除额外的软件

我正在运行Windows 2012 R2环境，该环境在IIS中托管一个网站。该网站目前需要客户端证书（已验证）才能访问该网站

检查客户端证书以确保其有效且未被吊销，而不是用于操作系统识别。如果用户提供有效的证书，则证书上的信息将用于在应用程序代码中对用户进行身份验证和标识（实际的身份验证是表单身份验证）。客户端证书没有映射到单个用户（例如，客户端证书没有映射到active directory帐户）

该站点目前使用一个附加软件将客户端证书传递给外部OCSP，以验证证书状态

我的目标是删除额外的软件，并留下一个仅限IIS（或仅限Windows Server）的解决方案，但文档让我感到困惑。我不确定是否需要在IIS服务器或AD服务器上安装OCSP角色，或者IIS中是否有方法配置URL以检查证书。

如果客户端证书指向其扩展中的OCSP服务器，IIS将自动对其进行验证。您可以检查

CAPI2\Operational

事件日志，查看验证过程中发生的情况。

在IIS中，客户端证书身份验证必须映射到某个实体，否则IIS将在证书到达应用程序之前拒绝证书。如果没有其他软件，您至少需要OCSP绑定。启用后，服务器会预取其自身证书的OCSP响应，并在TLS握手期间将其传递给用户的浏览器。