IIS 7身份验证-仅允许智能卡登录证书

Question

我在一个组织工作，允许其打开应用程序的用户必须使用智能卡登录。

只要有用户加入(几乎每天)，我们就会为该用户开发新的智能卡。

我的问题是，通过一些配置更改，用户可以不使用智能卡登录，只需使用自己的windows证书即可。

实现该目标的最佳身份验证方式是什么？

IIS 7中是否内置了只允许访问包含智能卡登录的证书的方法？

该应用程序是用C#开发的。

谢谢你的帮助。

Answer 1

您可以从证书中读取增强型密钥用法，并检查您正在进行身份验证的证书是否为智能卡。通常，非智能卡的增强型密钥用法是客户端身份验证，智能卡的增强型密钥用法是客户端身份验证+智能卡登录；以下是我上周编写的示例代码，以实现与您的需求类似的功能：

var validCertsAssignedToUserOrderBySmartCardValidFromDate = from cert in validCertsAssignedToUser
                                                                        from ext in cert.Extensions.OfType<X509EnhancedKeyUsageExtension>()
                                                                        from usage in ext.EnhancedKeyUsages.OfType<Oid>()
                                                                        let isSmartCard = (ext.Oid.FriendlyName == "Enhanced Key Usage" && usage.FriendlyName == "Smart Card Logon") ? 0 : 1
                                                                        orderby isSmartCard
                                                                            , cert.NotBefore descending
                                                                        select cert;

就IIS7内置方式而言，我不知道有什么内置方式，但我认为以编程方式实现并不困难