我被第三方要求设置一个FTPS站点,以便他们连接。

我正在IIS 10上执行此操作。

要求第三方客户端使用绑定到FTP用户的客户端证书。

我已经对此进行了测试,并使用自签名的客户端证书使一切都能完美运行。

但是,还要求客户端证书由受信任的CA签名。

我熟悉使用win-acme生成服务器证书,但我不确定是否可以使用win-acm生成[未绑定到域]的客户端证书。

我已经尝试使用win-acme生成客户端证书,但是,由于证书要绑定到用户名而不是域名,所以我看不到验证证书的方法。

如何获取可绑定到FTP用户并由第三方用于连接到FTP站点的可信客户端证书?

非常感谢您的帮助。

改进这个问题
0

1个答案1

重置为默认值
4

在这里,通常意义上(即全球范围内)的“可信”是没有用处的。

就“网络”CA而言,它只适用于电子邮件(S/MIME)证书,该证书与各种随机实体交互(并且首先基于全球身份),因此拥有一组预先存在的受信任CA在那里很有用,但它们与TLS客户端证书的范围和要求不同。对TLS客户端证书有相同的要求是没有意义的,因为:

  1. 客户端软件没有原因关心自己客户证书的信任;只有服务器验证过。

    作为对这一点的扩展,处理证书的系统集是已知的,并且是有限的,因此由预先安装的CA颁发证书几乎没有什么好处–可以很容易地将CA部署到需要它的一(1)个系统。

  2. 该证书将代表一种身份类型,即Windows域用户,在该域之外没有意义,并且无法通过外部CA进行验证。

    如果CA没有办法证明身份,那么它就不能为此颁发证书。无论是否通过ACME完成,外部CA都无法使用您的内部AD用户名颁发证书。

因此,相反,应该成为证明者,即您应该创建一个内部CA(例如使用Active Directory证书服务),并使IIS服务器手动或通过GPO“信任”该CA。

使用AD CS是一个简单的选择,因为它已经带有AD软件喜欢的正确模板;证书颁发已绑定到Windows帐户;但我很确定可以将任何随机证书映射到任何Active Directory帐户,因此如果您愿意,可以使用XCA、Smallstep或Easy-RSA。

(在你问之前,不,为客户端和服务器证书使用不同的CA绝对没有错——这不会破坏TLS。)

改进此答案
1
  • 这是非常有用的信息,谢谢。阅读本文-我认为我需要回到第三方,以澄清他们的要求。
    – 就绪状态失败
    评论 5月23日14:52

你必须登录来回答这个问题。

不是你想要的答案吗?浏览标记的其他问题.