IIS将客户端证书传递给rails

IIS Passing client certificate to rails

由于客户政府的限制，我有一个用 Rails 编写的应用程序，它必须在 IIS 服务器后面运行。我们必须进行 SSL 身份验证。所以在我搜索 Google 的时间里，我无法弄清楚如何让 IIS 将客户端证书传递给 rails 服务器(瘦)。

我看过关于 Apache 的教程使用：

1	SSLOptions +ExportCertData

然后使其可用于请求对象。关于如何配置 IIS 来做同样的事情的任何想法？

被告知这可能是不可能的。我终于想通了！这是我采取的步骤。

使用 OpenSSL 创建您自己的 CA 证书。

使用生成的 CA 证书创建并使用 Open SSL 签署其他证书。

打开 Internet 信息服务管理器，单击服务器，然后单击服务器证书。 Server Certificate

单击操作列下的导入

导入后点击您的网站。

在操作列中单击绑定...

单击添加，滚动到 https，然后选择您导入的 CA 证书

再次单击您的站点以进入菜单并单击 SSL 设置

检查要求 SSL，然后单击单选按钮，要求

再次单击您的站点然后单击配置编辑器(安装在 IIS 7.5 中可以在 7.0 中加载)
Configuration Editor

转到 system.webServer/security/authentication/iisClientCertificateMappingAuthentication

设置启用为真

将 manyToOneCertificateMappings 设置为 true

单击 manyToOneMappings Configuration Editor

最右端的 ... 框

单击集合下的操作列下的添加

添加您创建的用户的用户名和密码(可以在本地机器上) the ... box

现在，转到主服务器并重新启动。

您应该能够使用 request.headers 哈希查看证书。

散列的变量包括：

如果您找不到某些东西，您可能需要安装一个模块(用于类似身份验证)。我不记得我安装了哪些。

公司希望在 IIS 服务器后面运行 Rails(或其他)应用程序的主要原因是为了 SSO，而不是保护资源。

看看这是否有帮助。

我们已经在很多客户地点在 IIS 后面运行我们的 Rails 应用程序。我们在 Tomcat 内的 JRuby 中运行 Rails 应用程序。

安装 JK ISAPI 重定向插件的步骤在这里

1	http://tomcat.apache.org/connectors-doc/webserver_howto/iis.html

使用标准 IIS 身份验证方案、集成 Windows 身份验证(协商、NTLM)在 IIS 中保护所有 Rails 上下文。

在 Rails 应用程序中可以获取登录用户的信息。

1	request.env['java.servlet_request'].get_remote_user

Rails 应用程序还连接到 Microsoft AD 以获取其他用户信息，例如电子邮件、部门等，

由于 Rails 盲目信任 IIS 服务器进行身份验证，因此需要阻止它直接访问。

1
2
3

1. Disable HTTP ports in Tomcat
2. Enable only the AJP port
3. Add an IP restriction so that it accepts connection only from the IIS server(s)

==
我认为 IIS 不可能传递证书详细信息。我们尝试提取 Kerboros 令牌(用于 kerboros 身份验证委托)但没有取得多大成功，并意识到这是不可能的。