如何仅从特定CA请求客户端证书

Question

是否可以请求仅由特定CA（证书颁发机构）颁发的客户端证书？ 该站点使用的是IIS 7.5，我们在本文后面为用户分配了客户端证书 - http://ondrej.wordpress.com/2010/01/24/iis-7-and-client-certificates/。 CTL似乎对此没有任何影响，因为服务器将始终通告所有可接受的CA名称，无论它们是否在CTL中。 http://blogs.msdn.com/b/saurabh_singh/archive/2007/12/07/certificate-trust-list-not-being-honored-by-iis-5-0-6-0-7-0.aspx

Answer 1

• 在服务器上以管理员身份运行MMC。
• 添加证书加载项，选择计算机帐户。
• 在每个子文件夹中，对于您不希望包含的每个证书：
  • 如果预期用途包含或包含客户端身份验证：
    • 右键单击证书
    • 确保选中“仅启用以下用途”
    • 取消选中“客户端身份验证”
    • 单击“确定”。

我必须在两台服务器上为400多个证书执行此操作...两次（因为GPO覆盖了我的设置）。