IIS 支持通常称为 Fortezza 的美国政府安全标准。此标准使用一种加密机制,保证消息、组件和系统的消息机密性、完整性,并为消息、组件和系统提供身份验证及访问控制,从而满足防御消息系统安全性结构的要求。可以通过服务器和浏览器软件或者 PCMCIA 卡硬件来实现这些功能。Fortezza 是美国政府内部广泛使用的一种机制。有关详细信息,请参阅位于 Infosec 的 Fortezza 开发人员指南(由美国国家安全局和国防部管理)。
请执行如下步骤在 IIS 中实施 Fortezza 安全机制。这些步骤将 Fortezza 方案完全集成到 IIS 中,以便可以按照 Fortezza 安全标准进行操作。
Fortezza 卡(一种 PCMCIA 类型的卡,与笔记本电脑以及其它小型设备中使用的卡类似)包含验证此卡用户的用户证书;其工作原理与 IIS 中的服务器和客户证书完全一样。为了保证 IIS 可以使用这些 Fortezza 证书,必须将它们复制到计算机上的安全存储区内:
此工具提供安装、确认和删除卡证书以及相关信息等多种功能。要启用某项功能,请在命令行下输入相应的命令:
| 动作 | 命令 | 参数 |
| 添加证书 | fortutil.exe /a |
网站名、卡序列号、PIN、卡特性 |
| 确认证书 | fortutil.exe /q |
Web 服务器名称 |
| 删除证书 | fortutil.exe /r |
网站名 |
| 帮助 | fortutil.exe /? |
无 |
注意 任何被复制到服务器上的 Fortezza 证书都可以用作“Web 服务器证书向导”、“CTL 向导”或者 Windows 证书功能中的证书。
要点 如果正在运行 Web 服务时,将卡从读取器中拔出后再插入,可能导致 SSL 连接错误。如果出现这些错误,需要将卡插入读取器之后重新启动 Web 服务。