Проверка подлинности с помощью клиентских сертификатов



Предыдущая | Следующая

Проверка подлинности с помощью клиентских сертификатов

Помимо других методов проверки подлинности и US обеспечена поддержка клиентских сертификатов, подтверждающих идентичность веб-пользователя. Для поддержки этого метода пользователи должны установить на своих компьютерах сертификаты безопасности. При получении запроса защищенного содержимого IIS автоматически подтверждает идентичность клиента, запрашивая данные сертификата.

Существует три основных режима использования клиентских сертификатов.

ш Сопоставления -«один-один» В этой конфигурации веб-сер вер должен содержать копию клиентского сертификата, используемого каждым компьютером, который будет получать доступ к конкретному содержимому Для подтверждения запроса сервер сравнивает свою копию сертификата с копией, предоставленной клиентом.

■ Сопоставления «множество-один»» Довольно часто управлять сертификатами всех возможных веб-пользователей на сервере непрактично. Сопоставления «множество-к-одному&> зависят от веб-сервера, выполняющего проверку подлинности с применением определенной информации из клиентского сертификата, В качестве распространенного примера можно привести подтверждение данных организации в сертификате для обеспечения гарантии того, что запрашивающий пользователь входит в доверенную компанию.

■ Сопоставления Active Directory Службы сертификации Active Directory (Active Directory Certificate Services) могут значительно упростить создание клиентских сертификатов и управление ими. Для включения этого метода организация должна вначале установить собственную инфраструктуру на основе сертификатов.

Этот метод чаще всего используется в средах, где системные администраторы управляют компьютерами конечных пользователей, поскольку требовать сертификаты для общедоступных веб-сайтов и приложений в Интернете попросту нецелесообразно.

содержание: Развертывание и настройка Windows Server 2008