使用Microsoft SOAP Toolkit 2.0建立安全Web服務(wù)

dim SoapClient

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

Quote = SoapClient.GetQuote()

通過(guò)默認(rèn)代理訪問(wèn)

試圖訪問(wèn) Intranet 之外的網(wǎng)站時(shí)，Internet Explorer Web 瀏覽器將通過(guò)在 IE 設(shè)置中指定的默認(rèn)代理服務(wù)器。您可以通過(guò) IE/“工具”/“選項(xiàng)”/“連接”/“局域網(wǎng)設(shè)置”對(duì)話框查看這些設(shè)置。若要使 Microsoft SOAP Toolkit (HTTPConnecter) 使用這些設(shè)置，應(yīng)將 UseProxy 屬性設(shè)置為 TRUE。示例：

dim SoapClient

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

SoapClient.ConnectorProperty("UseProxy") = true

Quote = SoapClient.GetQuote()

繞過(guò)代理服務(wù)器列表。請(qǐng)注意，IE 代理設(shè)置中有一個(gè)主機(jī)列表，您可以連接這些主機(jī)來(lái)繞過(guò)代理服務(wù)器。

轉(zhuǎn)至 IE/“工具”/“選項(xiàng)”/“連接”/“局域網(wǎng)設(shè)置”對(duì)話框。

若要繞過(guò)本地服務(wù)器，請(qǐng)啟用設(shè)置“對(duì)于本地地址不使用代理服務(wù)器”。

若要在連接到其它特定服務(wù)器時(shí)繞過(guò)代理，請(qǐng)單擊“高級(jí)”按鈕。可以在“例外”編輯控件中列出要繞過(guò)的服務(wù)器，各個(gè)服務(wù)器名稱之間用分號(hào)隔開(kāi)?？梢允褂猛ㄅ浞?.soap-company.com”繞過(guò)名稱中含有 .soap-company.com 的所有服務(wù)器。

需要代理服務(wù)器來(lái)允許繞過(guò)本地 Intranet 之外的任何服務(wù)器。請(qǐng)注意，用于 HTTP 和用于通過(guò) SSL (HTTPS) 連接的代理服務(wù)器不同。代理應(yīng)允許使用任一協(xié)議，以便 SSL 正常工作。

局限性：使用默認(rèn)代理時(shí)，在 Windows 2000 和 Windows NT4 上使用 Microsoft SOAP Toolkit 2.0 HttpConnector 有一個(gè)已知問(wèn)題：它不理解默認(rèn) IE 代理設(shè)置的“繞過(guò)代理”列表。如果選中了“對(duì)于本地地址不使用代理服務(wù)器”并且在 URL 中指定的主機(jī)名不包含“.”，它將繞過(guò)代理服務(wù)器。但它不理解在 IE 代理設(shè)置“高級(jí)”菜單中的“例外”文本框中指定的復(fù)雜模板。

通過(guò)指定代理連接

可以指定哪個(gè)代理使用 ProxyServer 和 ProxyPort 連接器屬性：

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

SoapClient.ConnectorProperty("UseProxy") = true

SoapClient.ConnectorProperty("ProxyServer") = "yourproxy"

SoapClient.ConnectorProperty("ProxyPort") = 80

Quote = SoapClient.GetQuote()

請(qǐng)注意，如果使用 ProxyServer 屬性，則不必將 UseProxy 設(shè)置為 True，它將自動(dòng)設(shè)置。

代理身份驗(yàn)證

代理服務(wù)器可以在允許連接之前要求您對(duì)自身進(jìn)行身份驗(yàn)證。例如，可以使用它限制在公司 Intranet 內(nèi)使用 Internet。代理服務(wù)器可使用上述所有身份驗(yàn)證方案。Microsoft SOAP Toolkit 2.0 允許您指定代理身份驗(yàn)證的用戶名和密碼：

set SoapClient = createobject("MSSoap.SoapClient")

SoapClient.ConnectorProperty("UseProxy") = true

SoapClient.mssoapinit("http://services.xmethods.net/soap/urn:xmethods-CurrencyExchange.wsdl")

SoapClient.ConnectorProperty("ProxyServer") = "secureproxy"

SoapClient.ConnectorProperty("ProxyPort") = 80

SoapClient.ConnectorProperty("ProxyUser") = "username"

SoapClient.ConnectorProperty("ProxyPassword") = "password"

Quote = SoapClient.GetQuote()

如果代理要求 NTLM 身份驗(yàn)證，可以省略用戶名和密碼，這是將使用當(dāng)前登錄憑據(jù)。如果需要指定代理 NTLM 身份驗(yàn)證的域名，請(qǐng)?zhí)砑印癉OMAINusername”進(jìn)行服務(wù)器身份驗(yàn)證。

局限性。Microsoft SOAP Toolkit 2.0 不支持通過(guò)要求身份驗(yàn)證的代理連接到也要求身份驗(yàn)證的服務(wù)器。另外，通過(guò)要求身份驗(yàn)證的代理的 SSL 連接在 Windows 2000 和 Windows NT4 上不能正常工作。

SSL 和客戶端證書(shū)

在本節(jié)中，我們將具體討論如何通過(guò)安全套接字層 (SSL) 和客戶端證書(shū)支持進(jìn)行連接。我們還將討論 Microsoft SOAP Toolkit 2.0 在使用客戶端證書(shū)支持的支持平臺(tái)上的已知局限性。

通常認(rèn)為 SSL 只是一種加密機(jī)制，其實(shí)它還提供身份驗(yàn)證。若要使 IIS 4.0/IIS 5.0 支持 SSL 連接，需要獲取 X.509 證書(shū)，并將其安裝在服務(wù)器上。

何謂 X.509 證書(shū)？

證書(shū)是一種結(jié)構(gòu)，其中包含主題、頒發(fā)者名稱、有效期和其它特征等信息。（有關(guān)證書(shū)的詳細(xì)信息，請(qǐng)參閱由 Michael Howard 編著的《設(shè)計(jì) Microsoft Windows 2000 基于 Web 的安全應(yīng)用程序》。） 每個(gè)證書(shū)都與用于 SSL 加密的一對(duì)私有和公用密鑰相關(guān)。SSL 始終使用 X.509 證書(shū)對(duì) Web 服務(wù)器進(jìn)行身份驗(yàn)證。

若要獲得證書(shū)，需要向證書(shū)頒發(fā)機(jī)構(gòu)發(fā)出證書(shū)請(qǐng)求。證書(shū)頒發(fā)機(jī)構(gòu) (CA) 是頒發(fā)證書(shū)的單位。當(dāng) CA 向主題（發(fā)出請(qǐng)求的實(shí)體）頒發(fā)證書(shū)時(shí)，它驗(yàn)證該主題是否與它所聲稱的相符，并簽發(fā)新證書(shū)和私有密鑰。這樣，主題可以信任 CA。如果信任頒發(fā)證書(shū)的 CA，則表示信任向您提供此證書(shū)的主題。根目錄證書(shū)保證 CA 的可信性。多個(gè) CA 可以形成一條信任鏈：如果信任根 CA，就信任具有根 CA 頒發(fā)的證書(shū)的中間 CA，因此將信任具有中間 CA 頒發(fā)的證書(shū)的所有主題。

“信任”的實(shí)際意義是什么？可以將 CA 的證書(shū)放入“受信任的根目錄證書(shū)頒發(fā)機(jī)構(gòu)”存儲(chǔ)區(qū)來(lái)表示信任該 CA。所有證書(shū)都存儲(chǔ)在所謂的證書(shū)存儲(chǔ)區(qū)中。有多個(gè)默認(rèn)存儲(chǔ)區(qū)，例如：

CURRENT_USERMY，個(gè)人證書(shū)存儲(chǔ)區(qū)，用于當(dāng)前登錄的用戶，對(duì)其它登錄用戶不可見(jiàn)

LOCAL_MACHINEMY，個(gè)人證書(shū)存儲(chǔ)區(qū)，用于所有用戶

CURRENT_USERRoot，受信任的根目錄證書(shū)頒發(fā)機(jī)構(gòu)，包含當(dāng)前用戶信任的根 CA 的證書(shū)，如果證書(shū)具有到根 CA 證書(shū)的證書(shū)路徑，則當(dāng)前用戶信任該證書(shū)的有效性。

LOCAL_MACHINERoot，相同，但被所有用戶信任

具有被默認(rèn)信任的根 CA，例如 Verisign。盡管我們的示例將使用一個(gè)試用版的 Verisign 證書(shū)，但是它們是由不被默認(rèn)信任的 Verisign 測(cè)試機(jī)構(gòu)頒發(fā)的。

在服務(wù)器上啟用 SSL

本節(jié)介紹如何創(chuàng)建證書(shū)請(qǐng)求、從 Verisign 站點(diǎn)獲得試用版的測(cè)試服務(wù)器端證書(shū)，并將其安裝在 Web 服務(wù)器上。

使用 IIS 4.0 啟用服務(wù)器上的 SSL

用鼠標(biāo)右鍵單擊要啟用 SSL 的網(wǎng)站，并選擇“屬性”。

在“目錄安全性”選項(xiàng)卡上，單擊“編輯安全通信”。

在對(duì)話框中，單擊“密鑰管理器”。

展開(kāi)樹(shù)狀視圖中的“本地計(jì)算機(jī)”節(jié)點(diǎn)。用鼠標(biāo)右鍵單擊 WWW 葉，并選擇“新建密鑰”。這將啟動(dòng)稱為“密鑰管理器”的密鑰請(qǐng)求向?qū)А?BR>選擇“將請(qǐng)求放入要發(fā)送到頒發(fā)機(jī)構(gòu)的文件中”和一個(gè)文件名。單擊“下一步”。

輸入一個(gè)易記的密鑰名稱。輸入密碼，當(dāng)獲取由頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)時(shí)需要此密碼。對(duì)于加密密鑰字節(jié)長(zhǎng)度，請(qǐng)選擇 1024（1024 為推薦長(zhǎng)度，某些頒發(fā)機(jī)構(gòu)不頒發(fā)小于此長(zhǎng)度的證書(shū)）。單擊“下一步”。

輸入您的組織和部門(mén)名稱。輸入等同于完整站點(diǎn)名稱的公用名稱，例如 www.yoursite.com。在啟動(dòng) SSL 連接之前，客戶端將檢查站點(diǎn)名稱是否與證書(shū)的公用名稱相同。單擊“下一步”。

輸入國(guó)家（地區(qū)）、省/自治區(qū)、市/縣所在地。證書(shū)頒發(fā)機(jī)構(gòu)可能檢查這些信息是否一致，以確保輸入的信息有效。輸入省時(shí)，請(qǐng)輸入完整的省名稱。

輸入管理服務(wù)器的人員的姓名、電子郵件地址和電話號(hào)碼。這些信息不包含在證書(shū)中，但證書(shū)頒發(fā)機(jī)構(gòu)需要這些信息。

包含您的請(qǐng)求的文件已經(jīng)創(chuàng)建。該文件為 Base64 編碼格式。在此過(guò)程中，IIS 還將為該證書(shū)請(qǐng)求創(chuàng)建一個(gè)私有密鑰和一個(gè)公用密鑰。私有密鑰將保存在您的計(jì)算機(jī)上，而公用密鑰將隨請(qǐng)求一起發(fā)往 Verisign，并用以加密證書(shū)數(shù)據(jù)。

轉(zhuǎn)至 www.verisign.com（英文），并單擊“Get Trial SSL ID”。注冊(cè)證書(shū)時(shí)，會(huì)要求您提供 CSR（證書(shū)簽名請(qǐng)求）。復(fù)制并粘貼您的請(qǐng)求文件中自行“BEGIN NEW CERTIFICATE REQUEST;”之后的內(nèi)容，否則，將會(huì)出錯(cuò)。Verisign 以郵件形式將測(cè)試服務(wù)器端證書(shū)發(fā)送給您。該過(guò)程同樣適用于商業(yè)證書(shū)，不同之處在于它收費(fèi)并仔細(xì)驗(yàn)證提交的信息。

確保從證書(shū)頒發(fā)機(jī)構(gòu)獲得的證書(shū)是 Base64 編碼的。如果證書(shū)頒發(fā)機(jī)構(gòu)是 Verisign，則您可以通過(guò)電子郵件獲得證書(shū)。創(chuàng)建一個(gè)擴(kuò)展名為 .cer 的空文件，復(fù)制行“BEGIN CERTIFICATE”和“END CERTIFICATE”之間（包含這兩行）的所有內(nèi)容并粘貼到該文件。

轉(zhuǎn)至要啟用 SSL 的站點(diǎn)的“屬性”/“目錄安全性”選項(xiàng)卡。單擊“編輯安全通信”，然后單擊“密鑰管理器”。

在對(duì)話框中，展開(kāi)樹(shù)狀視圖中的“本地計(jì)算機(jī)”節(jié)點(diǎn)，再展開(kāi) WWW 葉，將顯示您的證書(shū)請(qǐng)求的密鑰。由于該證書(shū)尚未安裝，它標(biāo)記為紅色。用鼠標(biāo)右鍵單擊該證書(shū)，并選擇“安裝密鑰證書(shū)”。選擇具有要安裝的證書(shū)的文件。將提示您提供以前設(shè)置的密碼。輸入密碼。現(xiàn)在，您的證書(shū)已安裝。

使用 IIS 5.0 啟用服務(wù)器上的 SSL

用鼠標(biāo)右鍵單擊要啟用 SSL 的網(wǎng)站，并選擇“屬性”。

在“目錄安全性”選項(xiàng)卡上，單擊“編輯安全通信”。

單擊“服務(wù)器證書(shū)”打開(kāi)服務(wù)器證書(shū)向?qū)АＴ撓驅(qū)⒂洃浘W(wǎng)站的當(dāng)前狀態(tài)，例如您是否已擁有服務(wù)器證書(shū)。（現(xiàn)在假設(shè)您沒(méi)有證書(shū)。）

在證書(shū)向?qū)е?，單擊“下一步”，選擇“創(chuàng)建一個(gè)新證書(shū)”，然后單擊“下一步”。

選擇“現(xiàn)在準(zhǔn)備請(qǐng)求，但稍后發(fā)送”，并單擊“下一步”。

輸入證書(shū)的友好名稱。該名稱不會(huì)在證書(shū)結(jié)構(gòu)中使用，但作為區(qū)分請(qǐng)求和證書(shū)的一種方法。選擇公用密鑰長(zhǎng)度。推薦密鑰長(zhǎng)度不小于 1024 字節(jié)。單擊“下一步”。

輸入可以由頒發(fā)機(jī)構(gòu)驗(yàn)證的組織名稱和部門(mén)名稱，如果您請(qǐng)求用于商業(yè)目的的真實(shí)證書(shū)，請(qǐng)輸入有效名稱。輸入要被認(rèn)證的計(jì)算機(jī)的名稱。注意：它必須等同于您的完整站點(diǎn)名稱，例如 www.yoursite.com。單擊“下一步”。

輸入國(guó)家（地區(qū)）、省/自治區(qū)、市/縣所在地。請(qǐng)輸入有效信息，證書(shū)頒發(fā)機(jī)構(gòu)將檢查這些信息是否一致。輸入省時(shí)，請(qǐng)輸入完整的省名稱。單擊“下一步”。

輸入用于保存請(qǐng)求的請(qǐng)求文件名稱。單擊“下一步”。

將摘要顯示您輸入的內(nèi)容。確認(rèn)內(nèi)容正確，并單擊“下一步”完成向?qū)А０?qǐng)求的文件將以 Base 64 格式保存。

包含您的請(qǐng)求的文件已經(jīng)創(chuàng)建。該文件為 Base64 編碼格式。在此過(guò)程中，IIS 還將為該證書(shū)請(qǐng)求創(chuàng)建一個(gè)私有密鑰和一個(gè)公用密鑰。私有密鑰將保存在您的計(jì)算機(jī)上，而公用密鑰將隨請(qǐng)求一起發(fā)往 Verisign，并用以加密證書(shū)數(shù)據(jù)。

轉(zhuǎn)至 www.verisign.com（英文），并單擊“Get Trial SSL ID”。注冊(cè)證書(shū)時(shí)，會(huì)要求您提供 CSR（證書(shū)簽名請(qǐng)求）。復(fù)制并粘貼您的請(qǐng)求文件中自行“BEGIN NEW CERTIFICATE REQUEST;”之后的內(nèi)容，否則，將會(huì)出錯(cuò)。Verisign 以郵件形式將測(cè)試服務(wù)器端證書(shū)發(fā)送給您。該過(guò)程同樣適用于商業(yè)證書(shū)，不同之處在于它收費(fèi)并仔細(xì)驗(yàn)證提交的信息。

確保從證書(shū)頒發(fā)機(jī)構(gòu)獲得的證書(shū)是 Base64 編碼的。如果證書(shū)頒發(fā)機(jī)構(gòu)是 Verisign，則您可以通過(guò)電子郵件獲得證書(shū)。創(chuàng)建一個(gè)擴(kuò)展名為 .cer 的空文件，復(fù)制行“BEGIN CERTIFICATE”和“END CERTIFICATE”之間（包含這兩行）的所有內(nèi)容并粘貼到該文件。

轉(zhuǎn)至要啟用 SSL 的站點(diǎn)的“屬性”/“目錄安全性”選項(xiàng)卡。單擊“編輯安全通信”，然后單擊“服務(wù)器證書(shū)”。服務(wù)器證書(shū)向?qū)е滥鷦倓偺岢鲎C書(shū)請(qǐng)求，所以期望您已頒發(fā)證書(shū)并準(zhǔn)備好在 IIS 5.0 中安裝。

選擇“處理掛起申請(qǐng)并安裝證書(shū)”，并單擊“下一步”。選擇從證書(shū)頒發(fā)機(jī)構(gòu)獲得的證書(shū)的文件名。單擊“下一步”。查看證書(shū)概述，并單擊“下一步”。單擊“完成”。您的 Web 服務(wù)器證書(shū)已安裝在 IIS 5.0 中。

為 SSL 連接配置客戶端

僅僅具有配置正確的服務(wù)器并不足以啟用成功的 SSL 連接。請(qǐng)記住，SSL 連接始終包含身份驗(yàn)證，其中客戶端驗(yàn)證服務(wù)器的身份。特別是客戶端將驗(yàn)證服務(wù)器是否具有有效證書(shū)，例如證書(shū)是否過(guò)期、是否被注銷、是否由客戶端信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)等。在上述詳細(xì)步驟中，將收到一個(gè)由 Verisign 測(cè)試根頒發(fā)機(jī)構(gòu)頒發(fā)的試用版 Verisign 服務(wù)器端證書(shū)。默認(rèn)情況下，該頒發(fā)機(jī)構(gòu)并不被信任，例如，其證書(shū)不默認(rèn)存儲(chǔ)在您計(jì)算機(jī)上的根存儲(chǔ)區(qū)。按照 Verisign 站點(diǎn)中的關(guān)于如何獲得 Verisign 測(cè)試頒發(fā)機(jī)構(gòu)根目錄證書(shū)的指導(dǎo)進(jìn)行操作。獲得包含 Verisign 測(cè)試頒發(fā)機(jī)構(gòu)根目錄證書(shū)的文件之后，需要將其安裝在客戶端（您要用這些客戶端執(zhí)行至服務(wù)器的 SSL 連接）上，以在對(duì)服務(wù)器進(jìn)行身份驗(yàn)證時(shí)信任服務(wù)器端證書(shū)。請(qǐng)執(zhí)行以下步驟：

雙擊包含證書(shū)的文件，打開(kāi)證書(shū)瀏覽器窗口。

單擊“安裝證書(shū)”。在證書(shū)導(dǎo)入向?qū)g迎頁(yè)上，單擊“下一步”。

選擇要保存該證書(shū)的存儲(chǔ)區(qū)。

默認(rèn)情況下，Windows 將該證書(shū)放置到 CURRENT_USERRoot存儲(chǔ)區(qū)中。這意味著只以您的帳戶使用計(jì)算機(jī)時(shí)，才能夠信任由該頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)。若要確保對(duì)其它用戶也有效，推薦始終將根 CA 證書(shū)放置到 LOCAL_MACHINERoot 存儲(chǔ)區(qū)。這需要執(zhí)行以下操作：

選擇“將所有證書(shū)放置到以下存儲(chǔ)區(qū)”，并單擊“瀏覽”。

選擇“顯示物理存儲(chǔ)區(qū)”，展開(kāi)“受信任的根目錄證書(shū)頒發(fā)機(jī)構(gòu)”節(jié)點(diǎn)，選擇“本地計(jì)算機(jī)”，然后選擇“LOCAL_MACHINERoot”節(jié)點(diǎn)。
完成該向?qū)О惭b CA 根目錄證書(shū)。

執(zhí)行 SSL 連接

嘗試打開(kāi)到 Web 服務(wù)器的 SSL 連接。若要實(shí)現(xiàn)此目的，讓我們首先設(shè)置 Calc/Service/Rpc/AspVbsVb SOAP Toolkit 示例。需要執(zhí)行以下操作：

在服務(wù)器上，執(zhí)行 SOAP Toolkit 2.0 示例描述文件 C:Program FilesMSSOAPSamplesdefault.html 中有關(guān)示例設(shè)置的所有指導(dǎo)。

在服務(wù)器上，編輯 C:ProgramFilesMSSOAPSamplesCalcServiceRpcAspVbsVbcalc.wsdl 文件，并在位置 URL 而不是在 MSSOAP 的以下位置指定 Web 服務(wù)器名稱：

<port name='CalcSoapPort' binding='wsdlns:CalcSoapBinding' >

<soap:address location='https://您的服務(wù)器/MSSoapSamples/Calc
                              
/Service/Rpc/AspVbsVb/Calc.asp' />

</port>

在客戶端上運(yùn)行以下 VBScript：

Set Calc = CreateObject("MSSOAP.SoapClient")

Calc.mssoapinit https://your-server/MSSoapSamples/Calc/Service/Rpc/AspVbsVb/Calc.wsdl

Answer = Calc.add(14,28)

WScript.Echo "14+28=" & Answer

這樣，即建立了一個(gè) SSL 連接。請(qǐng)注意，如果將 URL 改回 HTTP，將建立一個(gè)通常意義上的非安全 HTTP 連接。若要使您的服務(wù)器要求 Web 服務(wù)實(shí)現(xiàn) SSL 連接，需要在服務(wù)所在的虛擬目錄上設(shè)置“要求 SSL”。請(qǐng)執(zhí)行以下操作：

在 IIS 4.0 上

用鼠標(biāo)右鍵單擊 IIS 管理器中的虛擬目錄，并選擇“屬性”。

在“目錄安全性”選項(xiàng)卡上，單擊“編輯安全通信”。

啟用“訪問(wèn)本資源時(shí)要求安全通道”。

在 IIS 5.0 上

用鼠標(biāo)右鍵單擊 IIS 管理器中的虛擬目錄，并選擇“屬性”。

在“目錄安全性”選項(xiàng)卡上，單擊“編輯安全通信”。

啟用“要求 SSL”。

現(xiàn)在，如果試圖建立與該服務(wù)的非安全 HTTP 連接，將會(huì)出錯(cuò)。

SSL 中的服務(wù)器身份驗(yàn)證

常見(jiàn)錯(cuò)誤是在 SSL 連接中使用 localhost 或服務(wù)器主機(jī)名的其它別名。在 SSL 握手期間，客戶端驗(yàn)證服務(wù)器證書(shū)主題名稱的公用名稱 (CN) 部分與 HTTP 請(qǐng)求中的主機(jī)名是否匹配。如果不匹配，SSL 連接將失敗?？蛻舳诉€同時(shí)驗(yàn)證服務(wù)器端證書(shū)是否有效、是否撤消以及是否由信任的 CA 頒發(fā)。

客戶端證書(shū)身份驗(yàn)證

除了必要的服務(wù)器身份驗(yàn)證，SSL 還有一個(gè)可選步驟：對(duì)客戶端進(jìn)行身份驗(yàn)證。這是使用客戶端證書(shū)進(jìn)行的?？蛻舳俗C書(shū)與服務(wù)器證書(shū)相似。如果服務(wù)器配置為要求客戶端證書(shū)，客戶端會(huì)將客戶端證書(shū)發(fā)送到服務(wù)器。服務(wù)器至少要檢查它是否信任此客戶端證書(shū)，例如，它是否由信任的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)。

在服務(wù)器上配置客戶端證書(shū)身份驗(yàn)證

IIS 4.0 和 IIS 5.0 都可以配置為：

忽略客戶端證書(shū)。這種情況下，客戶端證書(shū)身份驗(yàn)證將關(guān)閉。

接受但不要求客戶端證書(shū)。這種情況下，如果提供了客戶端證書(shū)，將對(duì)客戶端進(jìn)行身份驗(yàn)證。這時(shí)，所謂的身份驗(yàn)證僅是檢查客戶端證書(shū)是否有效、可信。

要求客戶端證書(shū)。如果沒(méi)有提供客戶端證書(shū)，連接將被拒絕。將如前一選項(xiàng)那樣對(duì)提供的客戶端證書(shū)進(jìn)行檢查。

要求客戶端證書(shū)，并將其映射到指定的用戶帳戶。這種身份驗(yàn)證方式與要求客戶端證書(shū)相同，但 IIS 工作線程還模擬指定用戶的憑據(jù)。

使用由 CA 而不是默認(rèn)信任的頒發(fā)機(jī)構(gòu)（例如 Verisign 或 Thawte）頒發(fā)的客戶端證書(shū)時(shí)，需要確保該 CA 根目錄證書(shū)存儲(chǔ)在服務(wù)器上的 LOCAL_MACHINERoot 存儲(chǔ)區(qū)中，而不是存儲(chǔ)在 CURRENT_USERRoot 存儲(chǔ)區(qū)中。默認(rèn)情況下，向?qū)? CA 的證書(shū)放置在 CURRENT_USERRoot 中，這使該證書(shū)對(duì) IIS 不可見(jiàn)，因?yàn)樗褂貌煌挠脩魩簟?/FONT>