IIS - Включение клиентских сертификатов

Можно потребовать, чтобы пользователи, пытающиеся получить доступ к веб-узлу, входили в систему с клиентскими сертификатами. Тем не менее, требование клиентских сертификатов не защищает содержимое от несанкционированного доступа. Любой пользователь, имеющий клиентский сертификат, может установить защищенное соединение и получить доступ к ресурсу. Чтобы защитить веб-содержимое от несанкционированного доступа, необходимо принять одну из следующих мер.

• В дополнение к требованию сертификата, использовать обычную, краткую или встроенную в Windows проверку подлинности.
• Сопоставить клиентские сертификаты с учетными записями Windows. Дополнительные сведения см. в разделе Cопоставление клиентских сертификатов учетным записям пользователей.

Важно!

• Веб-сервер не может выполнять обработку клиентских сертификатов, если ранее не был установлен сертификат сервера и не были включены средства защищенной связи. Дополнительные сведения о проверке подлинности и сертификатах см. в разделах О проверке подлинности и Получение сертификата сервера.
• При попытке настроить свойства для веб-узла, веб-сервер попросит подтверждения на сброс свойств отдельных каталогов и файлов веб-узла. Если такое подтверждение получено, предыдущие значения свойств будут заменены новыми. То же самое происходит при задании свойств для каталога, содержащего подкаталоги и файлы, для которых ранее были заданы свойства безопасности. Дополнительные сведения о настройке свойств см. в разделе «Свойства и наследование свойств на узлах» раздела О веб- и FTP-узлах.

1. В оснастке IIS выберите веб-узел, каталог или файл, и откройте вкладки его свойств.
2. Если сертификат сервера еще не получен, откройте вкладку Безопасность каталога и в группе Безопасные подключения нажмите кнопку Сертификат. Дополнительные сведения см. в разделе Использование новых мастеров безопасности.
3. Если сертификат сервера уже имеется, откройте вкладку Безопасность каталога или Безопасность файла и нажмите в группе Безопасные подключения кнопку Изменить.
4. В диалоговом окне Безопасные подключения установите флажок Требуется безопасный канал (SSL). Требование безопасного канала связи означает, что пользователь не может подключиться к этому узлу без использования защищенного подключения (т.е. URL-адрес в ссылке должен начинаться с имени протокола «https://»).
5. В группе Сертификаты клиентов выберите один из следующих переключателей, чтобы включить проверку подлинности с помощью клиентских сертификатов.

• принимать сертификаты. Пользователи могут получать доступ к ресурсам с помощью клиентских сертификатов, но эти сертификаты не являются необходимыми.
• требовать сертификаты клиентов.  Перед тем как подключить пользователя к ресурсу, сервер будет требовать клиентский сертификат. Пользователям, не имеющим действительных клиентских сертификатов, в доступе будет отказано.
• игнорировать сертификаты клиентов. Доступ будет предоставлен всем пользователям, независимо от наличия у них клиентских сертификатов.