将客户证书映射到用户帐户

通过创建“映射”将证书所包含的信息与 Windows 用户帐户相关联，可以对使用客户证书登录的用户进行身份验证。映射证书有两种方法：一对一和多对一。可以使用 Internet 信息服务管理单元处理这两种映射类型。

• 关于映射
• 映射策略
• 导出证书
• 如何映射证书

要点

• 要启用证书映射，必须安装服务器证书。有关安装服务器证书的详细信息，请参阅获取服务器证书。
• 要确保对映射规则的更改生效，必须停止并重新启动网站。操作方法为：在 Internet 信息服务管理单元中，选择网站，再从“操作”菜单中选择“停止”或单击工具栏上的“停止”图标。然后从“操作”菜单中选择“启动”，或单击工具栏上的“启动”图标。

关于映射

一对一映射

一对一映射将每一个客户证书映射到帐户。服务器将其所持客户证书的副本与浏览器发送的客户证书相比较。要进行映射，两者必须完全一致。如果客户端获得的另一个证书包含完全相同的用户信息，则必须重新映射。

多对一映射

多对一映射使用“通配符”匹配规则，验证客户证书是否包含如颁发者或主题等特殊信息。此映射不比较实际客户证书，而是接受所有符合特定标准的客户证书。如果客户端获得的另一个证书包含完全相同的用户信息，现有映射仍可继续使用。

目录服务 (DS) 映射

目录服务 (DS) 证书映射使用本机 Windows Active Directory 功能对具有客户证书的用户进行身份验证。使用 DS 映射既有利也有弊。例如，其优点在于多台服务器可以共享客户证书信息，而缺点则在于通配符匹配不如 IIS 匹配器中的高级。有关 DS 映射的详细信息，请参阅 Windows 文档。

只能在主属性级启用 DS 映射，并且您必须是 Windows 域的成员。激活 DS 映射后，整个 Web 服务都不能使用一对一和多对一映射。

映射策略

客户证书映射十分灵活，其中的三种映射方法都可用于将客户证书映射到用户帐户。可以将客户证书映射到任意数量的用户帐户，或将任意数量的客户证书映射到单个用户帐户。证书映射可用于多种情况，其中包括：

• 大型网络   拥有大量客户证书的网络可使用多对一或 DS 映射。管理员可创建一个或多个匹配规则，将证书映射到一个或多个 Windows 用户帐户。
• 小型网络用户数很少的网络既可以使用一对一映射，这样便于更好地控制证书的使用和吊销，也可使用多对一映射，这样更便于管理。
• 额外的安全措施   对于用户很少且要求额外安全措施的资源，管理员可使用一对一映射。管理员可以确保仅使用了特定的证书。这样可以更好地执行证书吊销策略。
• Internet   通过接受范围广泛的证书并将其映射到与 IUSR_ computername 帐户权限类似的帐户，使用证书验证的 Internet 站点可以使用多对一映射。
• 通过证书颁发机构   要映射所有使用客户证书登录的用户（这些证书由特殊的组织颁发），可以使用多对一映射并定义匹配规则，此规则自动将由此组织颁发的证书映射到用户帐户。

注意   如果需要灵活的通配符映射，请使用 IIS 映射功能。如果要通过映射将网站集成到 Windows 域，Windows DS 影射器可能更能满足您的需要。详细信息，请参阅 Windows 文档。

导出证书

某些证书需要“导出”，以便在 IIS 一对一映射中使用。对于多对一映射，则无需导出证书。详细信息，请与证书颁发机构联系。

也可以使用此过程创建证书的备份副本。

1. 在 Internet Explorer 中，单击“工具”中的“Internet 选项”。
2. 在“Internet 选项”属性页中，单击“内容”。
3. 在“内容”属性页中，单击“个人”(Internet Explorer 4.0) 或“证书”，然后单击“个人”选项卡 (Internet Explorer 5)。
4. 从列表中选择证书，然后单击“导出”。
5. 在向导中，选择“下一步”，然后选择“不，不要导出私钥”，并单击“下一步”。
6. 在下页中，选择“Base64 编码 X.509 (*.CER)”，然后单击“下一步”。完成向导中的过程。

现在证书已准备好，可以在以后的 IIS 一对一映射中使用。对于每个证书，此过程只需进行一次。

如何映射证书

一对一映射将每一客户证书映射到帐户。多对一映射使用“通配符”匹配规则，验证客户证书是否包含如颁发者或主题等特殊信息。

1. 在 Internet 信息服务管理单元中，选择要配置身份验证的网站，并打开其属性页。
2. 在“目录安全性”属性页的“安全通信”下，单击“编辑”。
3. 在“安全通信”对话框中，如果“启用客户证书映射”未被选中，请选中它。单击“编辑”。
4. 在“帐户映射”对话框的“一对一”选项卡中，单击“添加”以添加新证书，或选择映射并单击“编辑映射”对现有映射进行编辑。
5. 如果正在添加新证书，请找到并打开证书文件。

注意   如果无法找到证书文件，则需要将其导出。

6. 在“映射到帐户”对话框中，输入映射的名称。此名称将显示在“帐户映射”对话框的选项列表中。
7. 输入 Windows 用户帐户或通过浏览选择帐户。输入证书所映射到的帐户的密码。
8. 单击“确定”。
9. 重复以上步骤映射其他证书或将此证书映射到其他帐户。

不必导出证书以供多对一映射使用。

1. 在 Internet 信息服务管理单元中，选择要配置身份验证的网站并打开其属性页。
2. 在“目录安全性”属性页的“安全通信”下，单击“编辑”。
3. 在“安全通信”对话框中，如果“启用客户证书映射”复选框未被选中，请选中它。单击“编辑”。
4. 在“帐户映射”对话框的“多对一”选项卡中，单击“添加”。
5. 在“常规”对话框中，输入规则名称。此名称将显示在“帐户映射”对话框的选项列表中。可以创建规则供以后使用，或禁用但不删除规则，方法是选中或清除“启用通配符规则”复选框。单击“下一步”。
6. 在“规则”对话框中，单击“新建”。
7. 在“编辑规则元素”对话框中，选择相应的条件，然后单击“确定”。

注意   可以重复步骤 6 和 7 进一步定义规则。

8. 完成后，单击“下一步”。
9. 在“映射”对话框中，输入 Windows 用户帐户或通过浏览选择帐户。输入规则所映射到的帐户的密码。

注意   如果映射的帐户位于工作组内的计算机上，则需要指定计算机名称和帐户名称。例如，如果正在映射到 Sales1 计算机的 RegionalSales 帐户，则映射的帐户名称将是 Sales1\RegionalSales。

10. 单击“确定”。
11. 重复以上步骤创建其他映射规则。
12. 使用“上移”和“下移”按钮为规则指定优先级。列表中位置较高的规则优先级较高。

1. 在 Internet 信息服务管理单元中，选择要配置身份验证的网站，并打开其属性页。
2. 在“目录安全性”属性页上，单击“安全通信”中的“编辑”。
3. 在“安全通信”对话框中，如果“启用客户证书映射”复选框未被选中，请选中它。单击“编辑”。
4. 在“帐户映射”对话框的“多对一”选项卡中，选择规则并单击“编辑规则”。
5. 进行必要的更改。
6. 完成后，单击“确定”。

注意

• 指定客户证书映射始终优先于通配符映射。
• 某些客户证书提供更大的标识信息量，并且可能包含附加的自定义子域。有关证书格式的信息，请询问证书颁发机构。
• 使用的匹配规则应尽可能详细。好的通配规则可匹配多个不同的域和子域的信息。例如，名称记帐、运输和销售可在多个公司客户证书的组织单元子域中出现。只根据此子域映射证书的匹配规则可能会导致不必要的映射。

© 1997-2001 Microsoft Corporation. 保留所有权利。