如何在IIS中对特定URL上的所有请求要求相互的TLS

Question

对于互助TLS ( MTLS )，Identity Server 4 文档表示标识服务器是在某些端点为MTLS配置的。

在IdentityServer中，期望互TLS端点位于path ~/connect/mtls下面。这意味着您的web服务器可以配置为在该路径及其以下的所有请求都需要相互的TLS。

在IIS中有这样做的方法吗？我已经进行了广泛的研究，但无法找到一种方法来为特定的端点启用MTLS。

Answer 1

如果您对ApplicationHost.config中涉及的节点设置读/写权限，则可以在web.config中设置它：

<configuration>
    ...
    <location path="connect/mtls">
        <system.webServer>
            <security>
                <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert" />
            </security>
        </system.webServer>
    </location>
    ...
</configuration>

/Hans

Answer 2

在Identity Server 文档中引用的证书身份验证包的文档中，它说：

我可以将我的应用程序配置为只在某些路径上需要证书吗？ 不可能，请记住证书交换是在HTTPS会话的开始时完成的，它是由主机而不是应用程序完成的。Kestrel、IIS、Azure Web应用程序没有任何此类配置。

所以我想这不可能。但是，如果在特定路径上不可能进行证书身份验证，那么我当然希望得到关于如何解决身份服务器MTLS的任何其他反馈。