我正在IIS 8.5,Windows Server 2012 R2中设置一个站点。
站点需要使用多对一证书来验证客户端。
我的问题是,您可以在不"需要"SSL(即不使用SSL(的站点上使用多对一证书设置吗?
我本来希望所有用户在设置证书之前都能看到 401 屏幕,但目前情况并非如此。我想知道这是否是因为我还没有 SSL 设置。
客户端证书 身份验证需要 SSL,并且是强制性的。发生 SSL 握手时发送客户端证书。在 IIS 设置中,如果选择"需要"以要求客户端证书。然后,您还必须启用"需要 SSL"。
根据 MSDN ,
如果希望所有客户端验证其身份,则必须指定 客户端证书是必需的。如果某些客户端可以访问 内容,如果不首先验证其身份,您必须指定 接受客户证书。
但是,无论选择"接受"还是"要求",SSL 都是必需的。