配置IIS以接受或筛选特定颁发者的用户证书

Question

可以使用IIS管理器轻松地将IIS配置为为SSL使用特定的证书。然而，当用户打开网页上的浏览器时，我发现很难筛选在选择中显示哪个用户证书。该选择包含所有有效的用户证书，但我只希望列出特定证书(由特定CA推荐)，并且我知道这是可能的。

我已经知道这不是客户端，而是IIS端的设置。有人知道如何配置吗？

Answer 1

有点晚，但要筛选证书，可以使用IIS客户端证书映射身份验证。按照这份文件关于如何做到这一点。在这里，您可以在IIS中筛选要允许何种类型的客户端证书。

要限制弹出窗口的选择，浏览器显示您需要发送受信任的颁发者列表。然后浏览器将只显示服务器信任的证书。从IIS8.5和更高版本开始，这是默认的false。请参阅此链接

要执行此设置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendTrustedIssuerList To DWORD值1

请注意，可以发送的可信发行者的数量是有限的！如果这需要很长的时间，那么客户端可能不会看到弹出窗口中的所有有效证书，这可能会造成问题。