2

アクセス制御を既存のアプリに後付けするためのクライアント証明書の使用に関するアドバイスを探しています。

当社には既存のイントラネットアプリ(クラシックASP / IIS)があり、他のユーザーにライセンスを供与しています。これまでは、それを使用した各組織内でホストされており、セキュリティは「イントラネットにアクセスできれば、アプリケーションにアクセスできる」というものでした。

私は現在、このアプリを外部でホストして、自分でホストしたくない他の組織が使用できるようにする方法を探しています(新しいクライアントごとに独自のインストールがあります)。

新しい組織のすべてのユーザーはクライアント証明書を持っているので、私がやりたいのは、IISの「クライアント証明書が必要」のものを使用することです。これにより、「Organisation = BigClientXの場合、ローカルユーザーのふりをする」と言うことができます。

私が好むのは、「Organisation = BigClientXの場合は、virtualdirectoryZ内のリソースにアクセスできるようにし、それ以外の場合は無視する」というものです。

アドオン(おそらくISAPIフィルター?)を購入すると非常に嬉しく思います。これが最善のアプローチである場合は、これを実行してくれます。どんなアドバイス/戦争の話も歓迎されます。

4

2 に答える 2

0

あなたはおそらくこれをしたいと思うでしょう。クライアント証明書は、実際には認証の 2 番目の要素を対象としていますが、プライマリ ソースではありません。別の言い方をすれば、基本認証またはフォーム認証用にアプリを構成する必要があります。

公開鍵/秘密鍵の背後にあるテクノロジーは堅実です。ただし、証明書のライフサイクル管理を扱う非常に成熟した IT 組織が必要です。これがないと、証明書の有効期限が切れている、新しいコンピューターにコピーされていないなどの理由で、数え切れないほどの失敗のシナリオが発生します。

これは、アプリケーションがインターネットに面しているシナリオ (「ホストされた」シナリオ) で特に当てはまります。ユーザーへの証明書の発行についてはほとんど制御できません。

于 2009-03-03T21:24:48.300 に答える
0

似たようなことをしたことがあります...

組織のドメイン コントローラから証明書を内部的に生成します。配布用の PFX 形式と、IIS にインポートするための CER 形式の両方でエクスポートします。

DC の CA 証明書と共に PFX 形式のエクスポートを配布して、顧客のマシンが CA を「信頼」するようにします。

アプリのプロパティ IIS で、[ディレクトリ セキュリティ] タブに移動し、[安全な通信] の下の [編集] をクリックします。そこで、[クライアント証明書を受け入れる]、[クライアント証明書マッピングを有効にする]、[編集] の順にクリックします。

[1 対 1] タブで [追加] をクリックし、CER ファイルをインポートします。この証明書をマップするアカウントを入力します。

「リソースへのアクセスを許可する」については、マップされているユーザー アカウントで行うことをお勧めします。つまり、NTFS アクセス許可またはセキュリティを識別するコードを使用して、そのアカウントに基づいてリソースへのアクセスを提供できます。ログインしたユーザーのコンテキスト。

于 2009-02-28T06:48:39.853 に答える