IIS có thực hiện kiểm tra chứng chỉ SSL hoặc tôi có phải xác minh không?

Question

Tôi đã thiết lập IIS để chỉ chấp nhận các kết nối máy khách với chứng chỉ SSL. Tôi có một dịch vụ WCF chạy trên IIS. Tôi có một Certification Authority trong các máy chủ CA đáng tin cậy. Bây giờ, khi một khách hàng kết nối với dịch vụ, IIS có xác thực rằng chứng chỉ ứng dụng khách đã được cấp bởi một trong các CA đáng tin cậy của tôi không? Hoặc tôi có phải thực hiện xác thực trong dịch vụ WCF của tôi không?

Ngoài ra nếu tôi muốn dịch vụ chỉ chỉ chấp nhận kết nối từ một CA cụ thể (không phải tất cả CA đáng tin cậy của tôi, chỉ một), tôi có phải thực hiện xác minh trong mã dịch vụ không?

Answer 1

Nếu bạn định cấu hình IIS để yêu cầu lẫn nhau HTTPS (SSL với chứng chỉ ứng dụng khách), IIS/http.sys chịu trách nhiệm xác thực chứng chỉ và chứng chỉ ứng dụng khách phải ở trong kho lưu trữ tin cậy hoặc phải được CA tin cậy cấp. Chứng chỉ được xác thực trong quá trình bắt tay bảo mật để thiết lập kết nối SSL. Khi IIS được sử dụng để lưu trữ dịch vụ WCF, việc xác thực này được thực hiện bên ngoài WCF (trong trường hợp tự lưu trữ, bạn có thể sử dụng custom certificate validation).

Nếu bạn muốn giới hạn quyền truy cập vào dịch vụ đối với tập hợp con khách hàng bị hạn chế (với chứng chỉ do CA đơn), bạn nên chuyển yêu cầu này từ xác thực (chứng thực hợp lệ) sang ủy quyền = custom AuthorizationPolicy trong dịch vụ WCF của bạn. xác nhận rằng chứng chỉ được cấp bởi CA chính xác = máy khách được phép gọi dịch vụ của bạn.

Tổ chức phát hành đáng tin cậy cũng có thể được định cấu hình ở cấp hệ thống với netsh - kiểm tra sslctlidentifier và sslctlstorename. Cấu hình này sẽ toàn cầu cho toàn bộ cổng (trang web) vì vậy nếu bạn có nhiều ứng dụng web hoặc dịch vụ với các yêu cầu khác nhau được lưu trữ trên cùng một cổng thì đây sẽ không phải là một tùy chọn cho bạn.

Answer 2

Có, IIS xác nhận chứng chỉ ứng dụng khách để xác thực lẫn nhau, bạn không phải kiểm tra nó trong mã dịch vụ web của mình.
Kiểm tra this article, nó sẽ rõ ràng hơn.