1. 前言
以下实现了当浏览器访问HTTPS双向认证的网站时,自动选择客户端证书。
以下在 7环境进行验证。
1.1. 客户端证书设置
客户端在导入PKCS# 12证书(pfx或p12格式)后,可使用“.msc”命令打开证书管理器查看证书,或使用的管理证书功能查看证书。
假如当前已导入颁发者为的证书,使用证书管理器查看如下。
或使用的管理证书功能查看如下。
当未设置自动选择客户端证书时,访问需要进行双向认证的网站时,需要手工选择对应的客户端证书。使用访问测试用的双向认证网站,如下所示。
当选择对应的证书后,成功访问时页面显示如下。
当未选择对应的证书时,无法访问网站,显示如下。
1.2. 自动选择客户端证书设置
的引擎关于策略的文档为“ ” ,“”选项的作用为“ for these sites”,用于设置自动选择客户端证书。
1.3. 策略查看
在中,打开“ :/// ”页面可查看策略,当未设置策略时显示如下。
1.4. 策略设置
从 28开始,在环境通过组策略API获取,这意味着无法再单纯通过注册表配置策略(加入 域的仍支持注册表方式配置)。
通过组策略方式配置策略可参考文档“ ”。
1.4.1. 策略模板添加
通过 下载的策略模板。
使用的组策略模板文件为admx格式,解压.zip文件,将admx目录的.admx文件拷贝至组策略模板文件目录C:\中;将admxzh-CN目录的.adml文件拷贝至中文版本对应的C:\zh-CN目录中。
1.4.2. 策略手工配置
使用“.msc”命令打开组策略编辑器,需要具有管理员权限。
完成前一步骤的策略模板添加后,在组策略中会出现的策略配置选项,“计算机配置”“管理模板”“”“ ”“内容设置”目录的“自动选择这些网站的客户端证书”选项用于设置自动选择客户端证书,如下图所示。
“自动选择这些网站的客户端证书”选项即为选项。该选项的说明如下。
打开“自动选择这些网站的客户端证书”选项,选择“已启用”,点击“显示”按钮,弹出“显示内容”窗口,双击列表后可编辑策略,可设置多条策略,如下图。
策略的示例如下。
{"pattern":"https://www.example.com","filter":{"ISSUER":{"CN":"certificate issuer name"}}}
假如将策略设置为访问“”链接时,自动选择为“”的证书,则策略内容如下。
{"pattern":"https://127.0.0.1","filter":{"ISSUER":{"CN":"client_url"}}}
为了实现双向认证自动选择客户端证书,应当添加颁发者证书cn信息,并加载插件设置项。
1.4.3. 策略验证
策略配置完成后,保存在以下注册表项中。
HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogleChromeAutoSelectCertificateForUrls
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionGroup Policy Objects{[CLSID]}MachineSoftwarePoliciesGoogleChromeAutoSelectCertificateForUrls
在中打开“ :/// ”查看策略如下,可看到“”策略已被配置。
访问上述策略对应的网站,查看是否需要手工选择客户端证书,也可验证策略是否设置成功。
1.4.4. 策略批量配置
完成策略手工配置后,策略设置内容会被保存至“C:\\gpt.ini”与“C:\\.pol”文件中。gpt.ini文件的[]节点的ames属性值为“[{-683F-11D2-A89A-}{-3407-48AE-BA88-}]”,.pol文件保存了策略配置。
将完成策略手工配置后的“C:\\gpt.ini”与“C:\\.pol”文件拷贝至未进行配置的系统中,执行“ /force”命令更新组策略(需要具有管理员权限),等待提示“用户策略更新成功完成。计算机策略更新成功完成。”,说明组策略更新成功。
gpt.ini文件中的值不影响属性修改,可设为1。
使用上述方式批量配置策略时,不需要打开.msc或注销用户或重启,若策略未生效,需重启。
相关文章
