web-dev-qa-db-ja.com

SSLハンドシェイクを使用してクライアントのIDを確認し、特定のWebサイトページへのアクセスを許可するにはどうすればよいですか?

私は特定のクライアント向けのWebサイトでWebサービスを作成する過程のプログラマーです。これらのWebサービスには、この1つのクライアントからのみアクセスできます。彼らはリクエストごとにSSL経由でクライアント証明書を送信する予定であり、証明書に基づいてリクエスターのIDを確認する必要があります。現在、クライアントがIDを確認するために使用するSSL証明書があります。

私はプログラマーなので、セキュリティ/証明書は私がよく知っているものではありませんが、それを理解する必要があります。これを設定するにはどうすればよいですか?これは、IIS 6を実行しているWindowsServer 2003R2用にセットアップする必要があります。

3
Eric Belair

クライアントに証明書を提示させ、Webサーバーにその証明書を検証させ、「ユーザー」にマップさせる必要があります。そこから、ソフトウェアは通常、基本認証情報のように処理できます。

IISの詳細についてはあまりお役に立てませんが、 Apache docs は優れた一般的な入門書であり、 このページ はiisからです。 .netも役立つかもしれません。Googleを注意深く調べてみると(「証明書ベースのクライアント認証」または「クライアント証明書認証」)、おそらくいくつかの便利なものが見つかります。

3
voretaq7