网站安全证书

转载于：/art/200811/

《网络工程师考试案例动手实验营》第2章主要讲述的是架构基于CA证书的安全Web站点。本节将为大

家介绍的是应用需求。

第2章架构基于CA证书的安全Web站点

2.1应用需求

随着电子商务的日益普及，某网络服务提供商基于WindowsServer2003建构了一台虚拟服务器，并安装

IIS6.0来配置各类客户网上商务站点的服务。其中，某个Web站点的应用需求如下。

(1)架构一个使用用户证书认证的Web站点，使用默认的服务端口号。

(2)该Web站点同时负责客户端证书的颁发、吊销任务。

(3)网络中心已分配给该安全Web服务器一个静态的IP地址10.12.1.109，其网络拓扑结构如图2-1所示。

图2-1某电子商务公司部分网络拓扑图

2.2安装IIS及证书服务组件（1）

Internet信息服务是WindowsServer2003提供Web站点信息发布、使用和管理等功能的组件。全新安装

的WindowsServer2003及IIS6.0中，默认的应用程序操作模式为工作进程隔离模式。如果WindowsServer

2003是从WindowsServer2000升级的，IIS6.0将以IIS5.0隔离模式运行。

全新安装的WindowsServer2003，默认情况下IIS及证书服务组件均未安装。若要安装IIS及证书服务

组件，则需事先准备好WindowsServer2003安装光盘，并以系统管理员身份登录WindowsServer2003。

具体操作步骤如下。

(1)选择【开始】|【控制面板】|【添加或删除程序】|【添加/删除Windows组件】命令，在弹出的【Windows

组件向导】对话框中，选中【应用程序服务器】复选框，如图2-2所示。

(2)单击【详细信息】按钮，如图2-3所示，在弹出的【应用程序服务器】对话框中，选中【Internet信

息服务】复选框。

图2-2【Windows组件向导】对话框

图2-3【应用程序服务器】对话框

(3)单击【详细信息】按钮，弹出如图2-4所示的【Internet信息服务(IIS)】对话框，选中【万维网服

务】复选框。

(4)单击【详细信息】按钮，在弹出的如图2-5所示的【万维网服务】对话框中，选中ActiveServerPages、

【万维网服务】等复选框。

说明：安全Web通信、VPN服务器中L2TP连接等需要用到独立证书服务器。安装标准CA服务器时，需要

同时安装IIS及IIS中的ActiveServerPages服务组件。

图2-4【Internet信息服务(IIS)】对话框

图2-5【万维网服务】对话框

(5)依次单击【确定】按钮，回到如图2-2所示的【Windows组件向导】对话框。拉动下拉滑块，找到【证

书服务】选项。在如图2-6所示的界面中，选中【证书服务】复选框，单击【下一步】按钮，将弹出如图

2-7所示的【Microsoft证书服务】对话框。

图2-6【Windows组件】界面

(6)单击【是】按钮，系统将要求选择CA服务器的类型。在如图2-8所示的界面中，选中【独立根CA】

单选按钮。其中，【企业根CA】、【企业从属CA】单选按钮，需要在ActiveDirectory服务器中安装证

书服务时才可供选择。

(7)单击【下一步】按钮，在如图2-9所示的【CA识别信息】界面中，在【此CA的公用名称】文本框中

输入如的域名。CA有效期限等其他配置使用系统的默认值。

（点击查看大图）图2-7【Microsoft证书服务】对话框1

2.2安装IIS及证书服务组件（2）

图2-8【CA类型】界面

（点击查看大图）图2-9【CA识别信息】界面

(8)单击【下一步】按钮，系统将生成加密密钥并设置密钥保护。之后，系统要求输入证书数据库、数据

库日志等配置信息，如图2-10所示。这些配置信息可以使用系统的默认值，或者是将其中的"C:"更改为

"D:"等。

(9)单击【下一步】按钮，系统将进行IIS及证书服务组件的配置，如图2-11所示。在服务组件安装过程

中，可能会要求插入WindowsServer2003安装光盘，以复制i386目录中的相关文件。

（点击查看大图）图2-10【证书数据库设置】界面

（点击查看大图）图2-11【正在配置组件】界面

若先前在如图2-5所示的【万维网服务】对话框中，未选中ActiveServerPages复选框，将弹出如图2-12

所示的对话框，要求安装ActiveServerPages服务功能。

（点击查看大图）图2-12【Microsoft证书服务】对话框2

(10)单击【是】按钮，经过系统安装配置后，将弹出如图2-13所示的对话框，告知IIS及证书服务组件

已成功安装。

(11)选择【控制面板】|【管理工具】|【服务】命令，分别选择CertificateServices、IISAdminService，

并查看其属性，如图2-14所示。系统完成IIS及证书服务组件安装后，启动运行了这两项服务功能。

图2-13【完成"Windows组件向导"】界面

（点击查看大图）图2-14【服务】界面

2.3创建普通的Web站点

以系统管理员身份登录WindowsServer2003，选择【开始】|【程序】|【管理工具】|【计算机管理】命

令，或右击【我的电脑】并从弹出的快捷菜单中选择【管理】命令，打开【计算机管理】窗口；展开管理

目录树，在【服务和应用程序】下选择【Internet信息服务(IIS)管理器】。选择【Web服务扩展】，接

着在其右侧窗格中选中ActiveServerPages，单击【允许】按钮，如图2-15所示。

右击【默认网站(停止)】选项，在弹出的快捷菜单中选择【属性】命令，如图2-16所示。在打开的【默认

网站(停止)属性】对话框中，切换到【网站】选项卡。由图2-17所示【网站】选项卡的配置项目可知，使

用该选项卡可以设置某个网站的名称、连接限制，以及启用日志记录并配置站点的日志记录格式等内容。

图2-15【Internet信息服务(IIS)管理器】管理界面

图2-16【默认网站(

停止)】右键菜单

在【网站标识】选项组中的【描述】文本框中可输入所配置网站容易识记的名称。例如，本案例可输入类

似my_CA_Web站点等描述性语言。该名称将出现在IIS管理器的控制台树中。可从【IP地址】下拉列表框

中指定一个IP地址或输入用于访问该站点的IP地址。对于本案例可选择其下拉列表中的10.12.1.109地

址。如果没有分配指定的IP地址，即选中【全部未分配】选项，那么此站点将响应分配给该服务器但没有

分配给其他站点的所有IP地址，并使它成为默认网站的IP地址。【TCP端口】文本框是必填项目，用于

指派运行Web服务的TCP端口号(默认值是80)。如果将该端口号更改成其他的TCP端口号(例如8080)，则

需预先通知客户端以便其请求时输入相应的URL(例如:8080)。【SSL端口】文本框

是可选项目，用于指派与该网站标识相关联的SSL端口。默认SSL端口号是443。只有使用SSL加密时才

需要SSL端口号。也就是说，如果没有为站点启用SSL加密，则【SSL端口】文本框无须输入数值。单击

【高级】按钮，可以进一步配置用来访问站点的IP地址、TCP端口号以及主机头值。

【连接】选项组用于以秒为单位设置服务器断开非活动用户连接之前的时间长短，从而确保在HTTP协议无

法关闭某个连接时，关闭所有的连接。通常，默认选中【保持HTTP连接】复选框，从而满足客户端的浏览

器要求服务器在多个请求中保持连接打开的要求。如果没有它，浏览器将不得不为包含多个元素(如图片、

文字等)的页面进行大量的连接请求，增加额外的服务器活动和资源，从而降低服务器的响应效率。

选中【启用日志记录】复选框可以启用网站的日志记录功能，记录关于用户活动的细节并按所选格式创建

日志。通常，活动日志格式有MicrosoftIIS日志文件格式(一种固定的ASCII格式)、NCSA共用日志文件

格式(一种固定的ASCII格式)、ODBC日志记录(一种记录到数据库的固定格式)、W3C扩展日志文件格式(一

种可自定义的ASCII格式，默认选择此格式)等。若要使用进程记账，则需选择W3C扩展日志文件格式。

在如图2-18所示的【性能】选项卡中，通过配置给定站点的网络带宽，可以更好地控制该站点允许的流量。

【最大带宽】用于配置给定站点可以使用的网络带宽大小，单位为KB/s。当使用IIS管理器将站点配置成

使用带宽限制时，系统将自动安装数据包计划程序，并且IIS自动将带宽限制设置成最小值1KB/s。选中

【连接限制为】单选按钮可以设置指定网站的特定数目的并发连接。将站点限定在特定的连接数可以保持

服务器性能的稳定。

图2-17【网站】选项卡

图2-18【性能】选项卡

在如图2-19所示的【主目录】选项卡中，在【本地路径】文本框中可输入存放网站文件的目录路径。例如

本案例中，输入E:my_CAweb。也可以通过单击【浏览】按钮获得这一目录路径。

在【文档】选项卡中，单击【添加】按钮，在【添加内容页】对话框中输入。单击【确定】按

钮后，选中，并通过多次单击【上移】按钮使该文档置顶，如图2-20所示。

单击【确定】按钮后，右击【默认网站】选项，在弹出的快捷菜单中选择【启动】命令。然后在如图2-21

所示【默认网站】选项右侧窗格中，右击文档，在弹出的快捷菜单中选择【浏览】命令，如图

2-21所示。系统将自动打开IE浏览器，以http://10.12.1.109/这一URL显示出事先编辑好的

Web页，如图2-22所示。

图2-19【主目录】选项卡

（点击查看大图）图2-20【文档】选项卡

（点击查看大图）图2-21【浏览】命令操作示意图

（点击查看大图）图2-22Web页示意图

2.4Web站点证书申请（1）

在IIS管理器窗口中，右击【默认网站】选项，在弹出的快捷菜单中选择【属性】命令。切换到【目录安

全性】选项卡，如图2-23所示。在【安全通信】选项组中，单击【服务器证书】按钮。在【欢迎使用Web

服务器证书向导】对话框中，单击【下一步】按钮。

在如图2-24所示的【服务器证书】界面中，选中【新建证书】单选按钮。如果用户事先已为当前服务器申

请了证书，则可选中【分配现有证书】或【从密钥管理器备份文件导入证书】单选按钮。

依次单击【下一步】按钮，在【名称和安全性设置】界面中，输入一个便于记忆的新建证书的名称(如CA_test)，

并选择相应的密钥长度(系统默认值为1024位)，如图2-25所示。

单击【下一步】按钮，在如图2-26所示的【单位信息】界面中，输入相应的单位和部门名称。

（点击查看大图）图2-23【目录安全性】选项卡

（点击查看大图）图2-24【服务器证书】界面

（点击查看大图）图2-25【名称和安全性设置】界面

（点击查看大图）图2-26【单位信息】界面

单击【下一步】按钮，系统要求在如图2-27所示【站点公用名称】界面中输入Web站点的公用名称(如该

网站的DNS域名，即如果URL是，则公用名应为)。

注意：基于安全方面的考虑，通常在【公用名称】文本框中使用域名申请证书，而不能使用IP地址申请。

单击【下一步】按钮，系统将要求输入CA证书的国家、省/自治区、市/县等地理信息。单击【下一步】按

钮，在如图2-28所示的【证书请求文件名】界面中，输入所申请的证书文件名及其存储路径。该文件名及

其存储路径必须牢记，后面在向CA机构提交证书文件内容时需要使用到该文件。

单击【下一步】按钮，系统将给出所申请证书的摘要信息，如图2-29所示。

确认前面的操作无误后，单击【下一步】按钮，将弹出如图2-30所示的对话框，告知Web服务器证书已成

功申请。

（点击查看大图）图2-27【站点公用名称】界面

（点击查看大图）图2-28【证书请求文件名】界面

（点击查看大图）图2-29【请求文件摘要】界面

（点击查看大图）图2-30【完成Web服务器证书向导】界面

2.4Web站点证书申请（2）

进入如图2-28所示【证书请求文件名】界面中，在所申请的证书文件的存储目录中，打开文

件。全选该文件内容，选择【编辑】|【复制】命令或按Ctrl+C快捷键，如图2-31所示。

在如图2-32所示的【默认网站】的CertSrv目录中，右击文档，从弹出的快捷菜单中选择【浏

览】命令，打开如图2-33所示的证书申请【欢迎】页面。在IE浏览器地址栏中输入

http://10.12.1.109/certsrv，也可打开图2-33所示的证书申请【欢迎】页面。其中，10.12.1.109是安

装了证书服务器的计算机IP地址。

（点击查看大图）图2-31复制文件内容

（点击查看大图）图2-32CertSrv目录

单击【申请一个证书】链接，进入如图2-34所示的【申请一个证书】页面。

单击【高级证书申请】链接，进入【高级证书申请】页面，如图2-35所示。

单击【使用ba64编码的CMC或PKCS#10文件提交一个证书申请，或使用ba64编码的PKCS#7文件续

订证书申请】链接，进入如图2-36所示的【提交一个证书申请或续订申请】页面。在【保存的申请】选项

组中右击，从弹出的快捷菜单中选择【粘贴】命令；或按Ctrl+V快捷键。

（点击查看大图）图2-33【欢迎】页面

（点击查看大图）图2-34【申请一个证书】页面

（点击查看大图）图2-35【高级证书申请】页面

图2-36【提交一个证书申请或续订申请】页面

单击【提交】按钮，将弹出如图2-37所示的【证书挂起】页面。在向独立证书服务器提交证书申请后，需

要该CA服务器的管理员手动颁发用户申请的证书。并且，当申请的证书被批准后，只能使用申请证书的

计算机和浏览器在10天内下载。如果用户使用其他计算机，或者使用申请证书的计算机，但用不同的浏览

器，或者超过10天，都将不能下载批准后的证书文件，系统将给出"您没有挂起的证书申请"的提示信息。

（点击查看大图）图2-37【证书挂起】页面

2.5颁发、安装Web站点证书

在独立证书服务器中，选择【开始】|【程序】|【管理工具】|【证书颁发机构】命令，打开【证书颁发机

构】窗口。在左侧窗格中选择【挂起的申请】选项，在右侧窗格中，右击用户申请的证书文件。在弹出的

快捷菜单中选择【所有任务】|【颁发】命令，如图2-38所示。

（点击查看大图）图2-38颁发Web站点证书示意图

在申请证书的计算机和相关浏览器中，输入http://10.12.1.109/certsrv，打开如图2-33所示的【欢迎】

页面。单击【查看挂起的证书申请的状态】链接，进入如图2-39所示的【查看挂起的证书申请的状态】页

面。

单击【保存的申请证书】链接，进入如图2-40所示的【证书已颁发】页面。选中【DER编码】单选按钮，

单击【下载证书】链接，打开如图2-41所示的【文件下载-安全警告】对话框。单击【保存】按钮，将

证书文件保存到用户指定的文件夹中。

图2-39【查看挂起的证书申请的状态】页面

图2-40【证书已颁发】页面

在IIS管理器窗口中，右击【默认网站】选项，在弹出的快捷菜单中选择【属性】命令。切换到【目录安

全性】选项卡，如图2-23所示。在【安全通信】选项组中，单击【服务器证书】按钮。

在【欢迎使用Web服务器证书向导】界面中，单击【下一步】按钮。

在如图2-42所示的【挂起的证书请求】界面中，选中【处理挂起的请求并安装证书】单选按钮。

图2-41【文件下载-安全警告】对话框

（点击查看大图）图2-42【挂起的证书请求】界面

单击【下一步】按钮，在如图2-43所示的【处理挂起的请求】界面中，单击【浏览】按钮，选择在图2-41

中申请的证书文件。

单击【下一步】按钮，在如图2-44所示的【SSL端口】界面中，输入安全套接字协议默认使用的443端口

号。

（点击查看大图）图2-43【处理挂起的请求】界面

（点击查看大图）图2-44【SSL端口】界面

单击【下一步】按钮，弹出如图2-45所示的【证书摘要】界面，要求再次确认前面的配置信息。

单击【下一步】按钮，打开如图2-46所示的结束配置界面。单击【完成】按钮，将已申请的CA证书应用

到网站的安全管理中，并启用SSL功能，从而为网站与用户之间在传送信息时提供身份验证等安全功能。

在该Web服务器的cmd窗口中，运行netstat-aon命令，系统将返回如图2-47所示的TCP/UDP连接信息。

其中，TCP80、TCP443分别是HTTP、HTTPS协议使用的默认端口号。

（点击查看大图）图2-45【证书摘要】界面

（点击查看大图）图2-46【完成Web服务器证书向导】界面

（点击查看大图）图2-47netstat-aon系统返回信息

2.6客户端证书申请、颁发与安装（1）

在如图2-1所示拓扑结构图IP地址为10.12.1.192的客户机中，在IE浏览器地址栏中输入

http://10.12.1.109/certsrv，打开如图2-33所示的证书申请【欢迎】页面。单击【申请一个证书】链接，

进入如图2-48所示的【申请一个证书】页面。

图2-48【申请一个证书】页面

单击【Web浏览器证书】链接，进入【Web浏览器证书-识别信息】页面，如图2-49所示。在该页面中输入

申请证书时所需的姓名、电子邮件、公司、部门、市/县、省、国家(地区)等基本信息。也可单击【更多选

项】链接，选择一个加密服务提供程序和申请格式，以及是否启用强私钥保护等内容。

单击【提交】按钮，将弹出如图2-50所示的【潜在的脚本冲突】对话框。

（点击查看大图）图2-49【Web浏览器证书-识别信息】页面

（点击查看大图）图2-50【潜在的脚本冲突】对话框

单击【是】按钮，打开如图2-51所示的【证书挂起】页面，并记住其中的"申请ID为4"这一信息。

在10.12.1.109独立证书服务器中，选择【开始】|【程序】|【管理工具】|【证书颁发机构】命令，打开

【证书颁发机构】窗口。在左侧窗格中选择【挂起的申请】选项，在右侧窗格中右击申请ID为4的用户证

书申请文件。在弹出的快捷菜单中选择【所有任务】|【颁发】命令，如图2-52所示。

（点击查看大图）图2-51【证书挂起】页面

（点击查看大图）图2-52颁发客户机证书示意图

2.6客户端证书申请、颁发与安装（2）

进入如图2-28所示【证书请求文件名】界面中，在所申请的证书文件的存储目录中，打开文

件。全选该文件内容，选择【编辑】|【复制】命令或按Ctrl+C快捷键，如图2-31所示。

在如图2-32所示的【默认网站】的CertSrv目录中，右击文档，从弹出的快捷菜单中选择【浏

览】命令，打开如图2-33所示的证书申请【欢迎】页面。在IE浏览器地址栏中输入

http://10.12.1.109/certsrv，也可打开图2-33所示的证书申请【欢迎】页面。其中，10.12.1.109是安

装了证书服务器的计算机IP地址。

（点击查看大图）图2-53【查看挂起的证书申请的状态】页面

（点击查看大图）图2-54【证书已颁发】页面

（点击查看大图）图2-55【潜在的脚本冲突】对话框

（点击查看大图）图2-56【安全警告】对话框

单击【是】按钮，将弹出如图2-57所示的【证书已安装】页面。

在IE浏览器中选择【工具】|【Internet选项】命令，切换到【内容】选项卡，如图2-58所示。单击【证

书】按钮，将弹出如图2-59所示的【证书】对话框，从中可以查看或导出在图2-54中所安装的Web浏览

器证书。

（点击查看大图）图2-57【证书已安装】页面

（点击查看大图）图2-58【内容】选项卡

（点击查看大图）图2-59【证书】对话框

2.7Web安全通信配置与测试（1）

在IIS管理器窗口中，右击【默认网站】选项，从弹出的快捷菜单中选择【属性】命令。切换到【目录安

全性】选项卡，在【安全通信】选项组中，单击【编辑】按钮，如图2-60所示。将弹出如图2-61所示的

【安全通信】对话框。使用该对话框可以为加密通信配置安全套接字层(SSL)设置。当支持安全通信的Web

浏览器连接到配置成使用SSL(以https://开头的URL)的网站时，安全连接将保护传输的数据。

（点击查看大图）图2-60【目录安全性】选项卡

（点击查看大图）图2-61【安全通信】对话框1

图2-61中的默认配置是：不要求安全通道(SSL)且忽略客户端证书。其中，"忽略客户端证书"是指允许用

户不必提供客户端证书就可访问该Web站点。

如果在图2-61中选中【接受客户端证书】单选按钮，但不选中【要求安全通道(SSL)】复选框，依次单击

两次【确定】按钮，则该Web服务器既可以接收HTTP请求，也可以接收HTTPS请求。换言之，选中该单选

按钮后，允许具有客户端证书的用户访问该Web站点，但证书不是必需的。具有客户端证书的用户可以被

映射；没有客户端证书的用户可以使用其他身份验证方法。

在IP地址为10.12.1.192客户机的IE浏览器地址栏中，输入http://10.12.1.109，系统将直接显示如图

2-62所示的Web页面。

（点击查看大图）图2-62Web测试页面示意图1

若输入https://10.12.1.109，将弹出如图2-63所示的【安全警报】对话框。向用户告知，其所访问的Web

站点的安全证书在有效期内等信息。

单击【是】按钮，将弹出如图2-64所示的【选择数字证书】对话框。选中名称为test的证书，单击【确

定】按钮，将弹出如图2-65所示的【安全信息】对话框。单击【是】按钮，将显示如图2-66所示的Web

页面。

若先将如图2-59所示【证书】对话框中名为test的客户端证书删除，然后在客户机输入访问地址

https://10.12.1.109，则弹出无任何客户端证书的【选择数字证书】对话框，如图2-67所示。单击【确

定】按钮后，系统仍能显示如图2-66所示的Web页面。

图2-63【安全警报】对话框

图2-64【选择数字证书】对话框1

图2-65【安全信息】对话框

（点击查看大图）图2-66Web测试页面示意图2

2.7Web安全通信配置与测试（2）

如果在图2-68中选中【要求安全通道(SSL)】和【要求128位加密】复选框，并选中【忽略客户端证书】

单选按钮，则Web服务器可不要求客户端提供数字证书，只接收https请求，并要求在客户端浏览器和Web

服务器之间实现128位加密。其中，选中【要求安全通道(SSL)】复选框，可以要求客户端浏览器通过加密

通信来访问该网站。换言之，当选择该选项时，发送到该网站以及从该网站发送的所有数据都使用证书进

行身份验证。若不选中【要求128位加密】复选框，则客户端浏览器和Web服务器之间只进行证书的身份

验证，不进行128位加密通信。

（点击查看大图）图2-67【选择数字证书】对话框2

（点击查看大图）图2-68【安全通信】对话框2

此时，在地址为10.12.1.192客户机的IE浏览器地址栏中，输入http://10.12.1.109，将弹出错误号为

403.4的禁止访问页面，如图2-69所示。

若输入https://10.12.1.109，将弹出如图2-63所示的【安全警报】对话框。单击【是】按钮，将直接弹

出如图2-65所示的【安全信息】对话框，没有了如图2-64(或图2-67)所示的【选择数字证书】对话框。

单击【是】按钮，将显示如图2-66所示的Web页面。

如果选中【要求安全通道(SSL)】和【要求128位加密】复选框，并选中【接受客户端证书】单选按钮，如

图2-70所示，则客户端访问Web服务器的显示效果类似于选中【要求安全通道(SSL)】、【要求128位加

密】复选框和【忽略客户端证书】单选按钮，只是多了个如图2-64(或图2-67)所示的【选择数字证书】对

话框。

（点击查看大图）图2-69错误号为403.4的禁止访问页面

（点击查看大图）图2-70【安全通信】对话框3

如果选中【要求安全通道(SSL)】和【要求128位加密】复选框，并选中【要求客户端证书】单选按钮，如

图2-71所示，那么Web服务器将对客户端证书进行强制认证。其中，【要求客户端证书】单选按钮在选中

【要求安全通道(SSL)】复选框后才被激活。选择该选项后，则具有有效客户端证书的用户才能访问该Web

站点，没有有效客户端证书的用户将被拒绝访问该站点。

此时，在地址为10.12.1.192客户机的IE浏览器地址栏中，输入http://10.12.1.109，将弹出错误号为

403.4的禁止访问页面，如图2-69所示。若客户机未申请或未安装10.12.1.109证书服务器的证书文件，

输入https://10.12.1.109，将弹出如图2-63所示的【安全警报】对话框。单击【是】按钮，将弹出如图

2-67所示的【选择数字证书】对话框。单击【确定】按钮，将弹出错误号为403.7的禁止访问页面，如图

2-72所示。

若客户机已成功安装了10.12.1.109证书服务器颁发的证书文件，则输入https://10.12.1.109后，系统

显示信息分别类似于图2-63～图2-66。

（点击查看大图）图2-71【安全通信】对话框4

（点击查看大图）图2-72错误号为403.7的禁止访问页面

在图2-71中，若选中【启用客户端证书映射】复选框，则可以将服务器配置成使用有效客户端证书对登录

的用户进行身份验证。客户端证书映射可以将包含在客户端证书中的信息与Windows用户账户信息相匹配。

单击【编辑】按钮，可以编辑客户端证书映射。如果没有证书映射，则创建客户端证书映射。如果用户使

用证书登录网站，则其权限与证书映射到的用户账户相匹配。

在图2-71中，证书信任列表(CTL)是用于特定网站的已核准的证书颁发机构列表，并且仅在网站级别可用。