IIS-SSL-如何通过中间CA限制客户端证书验证?
如果相应的中间证书未在服务器上注册,如何拒绝客户端证书? 理想情况下,我们希望检查完整的证书链是否已在颁发者存储中注册 我们尝试使用Windows注册表项“ClientAuthTrustMode”已被证明是不成功的 编辑:似乎中间CA的注册不是验证客户CA的强制性要求IIS-SSL-如何通过中间CA限制客户端证书验证?,ssl,iis,certificate,Ssl,Iis,Certificate,如果相应的中间证书未在服务器上注册,如何拒绝客户端证书? 理想情况下,我们希望检查完整的证书链是否已在颁发者存储中注册 我们尝试使用Windows注册表项“ClientAuthTrustMode”已被证明是不成功的 编辑:似乎中间CA的注册不是验证客户CA的强制性要求 例如,如果客户机的CA验证链是“ClientCertificate>IntermediateCA>RootCA”,并且我们的服务器只注册了RootCA,那么我们的客户机的证书就被接受了——这不是我们想要的 设置clientauth
例如,如果客户机的CA验证链是“ClientCertificate>IntermediateCA>RootCA”,并且我们的服务器只注册了RootCA,那么我们的客户机的证书就被接受了——这不是我们想要的 设置clientauthtrustModue时收到了什么错误消息?或者您的意思是它不会检查中间CA。没有错误消息;我们观察到的是,即使计算机上没有安装中间CA,如果客户机证书与中间CA共享一个公共根,那么它也会被接受。