官方颁发的SSL证书与自签名证书结合实现网站双向认证

这是一个非常有趣的实验。

大家已经知道，一些SSL证书颁发机构颁发的证书，只是装在服务器端，让访问者通过SSL链接访问网站，并且可以向访问者证实网站的真实地址。但是，如果要限制网站的访问者，也就需要验证客户端所拥有的证书，这样才能建立安全链接。而机构在颁发SSL证书的时候，并没有配套的客户端证书，因此无法在客户端安装，也就无法开启对客户端的认证了。

AD CS的证书服务可以颁发服务器端SSL证书，也可以颁发客户端证书（见前文），但是AD CS颁发的服务器端SSL证书只能绑定一个域名，即 WWW.abc.com 或者abc.com。绑定其中一个域名，用另外一个域名访问时，就提示证书有问题，不是授权给这个域名的，有点不爽。

今天突发奇想，能不能将第三方认证机构颁发的SSL证书与AD CS颁发的证书结合在一起使用，实现双向认证呢？开始试验。

在服务器端先布置第三方机构颁发的SSL证书。将证书导入服务器证书个人下面。然后将证书导入客户端计算机证书管理“受信任的证书”。通过IIS设置，网站需要SSL链接，并且选择不需要客户端证书。这种设置下，客户端用http访问会提示403错误，用https访问时，会建立安全链接，点击“锁”的图形后，会显示证书的详细信息。说明SSl证书配置成功。

接下来在服务器端将IIS重新设置，需要SSL链接，同时需要客户端证书。现在用https访问时，因为没有证书，就不能访问了。提示需要用安全证书访问。

现在，在服务器端访问证书申请的页面，一般为 localhost/certsrv，申请客户端证书，申请成功后，到入服务器浏览器，再从服务器浏览器导出，复制到客户端电脑桌面上。

下一步是：在客户端，将客户端证书导入到证书的个人下。有时需要手工导入到浏览器中；在服务器端，将客户端证书导入到“受信的证书”中去。

OK！现在在客户端访问，用https访问，页面出现让用户选择证书，选择证书后，确认，双向链接就建立了，可以正常访问网站。

另外，如果没有弹出证书选择的页面，可能是之前访问过，或者曾经拒绝过选用证书，下次访问可能就没有证书访问的弹出框，可以清除浏览器缓存后重新输入地址访问。

一个技巧：如果客户端用http访问，而IIS设置一定要用SSL访问，通常就出现一个403页面，现在，可以通过修改403页面，让网址自动跳转到https访问，显得更为友好。相关设置方法百度一下就有。

一个小时的实验成功！心满意足，喝杯茶去。然后写老师布置的作业。