Você tem dois problemas separados.
- Crie uma maneira de gerar e manter seus certificados. Normalmente, isso significa instalar uma CA e usá-la para assinar certificados gerados pelo usuário. É um tópico bastante complexo, mas você pode começar instalando e compreendendo a função "Autoridade de Certificação" no Windows. NÃO instale isso na mesma máquina que seu servidor da Web.
- Implementando uma regra de autenticação de certificado de cliente no IIS 7.5. Isso não é muito complexo para fazer.
Aqui estão os detalhes sobre como configurar a autenticação de certificado de cliente no IIS 7.5:
- No gerenciador de funções, instale o serviço de função do IIS chamado "Autenticação de mapeamento de certificado do cliente IIS"
- Abra o gerenciador do IIS e selecione o site ou a pasta que você deseja proteger.
- Abra o "editor de configuração" e navegue até a seção "system.webServer / security / authentication / iisClientCertificateMappingAuthentication".
- Defina "ativado" para "verdadeiro".
Agora, você tem opções diferentes (ambas podem ser ativadas ao mesmo tempo): mapeamento de muitos para um e um para um. Veja esta documentação de como configurá-lo, mas basicamente , você cria uma versão codificada na base 64 de cada certificado que deseja aceitar, abre-a em um editor de texto, remove as linhas "begin certificate" e "end certificate", remove todas as quebras de linha e cria uma entrada de mapeamento no editor de configuração com o nome de usuário e a senha do Windows a serem usados para esse logon de certificado e usando a string que você acabou de criar no campo "certificado".
Usar o mapeamento homem-a-um é um pouco mais complexo porque você precisa especificar qual campo do certificado do cliente será usado para verificar um certificado de cliente (em vez de usar todo o certificado), mas pode ser mais fácil de manter você tem muitos usuários (já que você não precisará instalar todos os certificados individuais no servidor da web).
Além disso, saiba que todo certificado que você usa NEED para ser válido no servidor: você precisará instalá-los no armazenamento de certificados do sistema do servidor (não do usuário, do sistema) na seção "Pessoas confiáveis" (por certificados auto-assinados e de usuário), na "CA Raiz Confiável" (para raiz de certificado) ou na Autoridade de Certificação Intermediária "(para ICAs).