我必须开发一个Web应用程序,该应用程序既可以通过https进行保护,又可以使用客户端身份验证证书。客户端通过邀请进行连接,因此不适合用户通过谷歌搜索来绊倒这个应用程序。
理想的做法是从公共根权限中获取中间CA证书,并同时对ssl证书进行签名并使用它来颁发客户端身份验证证书。我认为这行不通,简而言之,我将永远没有资格获得这样的中级CA(据我所知,但也许我错了)。
第二个猜测:创建自己的根CA,中间CA并使用它们。由于我写了有关用户的文章,因此可以将必要的证书链嵌入已颁发的证书中。这在技术上是可行的。
我希望从公共机构获得ssl证书,并且使用自己的链来颁发身份验证证书并验证用户。根据{{3}},这是可能的。但是我还没有发现有关如何配置IIS(或Kestrel)以请求特定CA颁发的客户端证书的任何信息,甚至没有描述此流程的一些标准规范。