Привет всем!
Пытаюсь настроить IIS на авторизацию по сертификатам (и делаю это впервые).
Как инструкцию использовал вот эту статью: http://habrahabr.ru/blogs/server_side_optimization/96827/#habracut
Сделал все в точности как было написано в статье, но при открытии сайта IE выдает "Требуется действительный клиентский сертификат".
FireFox выдает:

Может чего не так сделал?

Там в статье не отображаются картинки, поэтому местами делал наугад.
В свойствах самого сертификата на закладке "Путь Сертификации" внизу написано "Этот сертификат содержит недействительную цифровую подпись." (повторяю: все сделал как было описано в статье).
То, что в статье понималось как "Новая Https привязка", сделал так: в mmc выбрал свойства основного веб-узла -> Безопасность каталога -> Безопасные подключения -> Изменить.
В открывшемся окошке выбрал опции:
- Требуется безопасный канал (SSL)
- Требовать сертификаты клиентов
- Включить список доверенных сертификатов, в который добавил созданный корневой сертификат.

На клиентской стороне установил клиентский сертификат. (client.pfx)
Веб-браузерами захожу на сервер.

а, сорри - в личное хранилище текущего пользователя

спасибо огромное!!!
сажусь читать )

Теперь, прочитав умную статью забугорного мегаадмина, сделал все через Службу Сертификации MS.
Проблема осталась, т.к. сервер не входит в домен (и не имеет доменного имени - только IP) -> служба сертификации запускается как локальный ЦС -> генерит клиентские сертификаты, которые действительны только для клиентов, работающих в той же лок.сети, что и сам сервер (после скачивания сгенереного клиентского сертификата на удаленный компьютер и его открытии выдает: "Не достаточно информации для проверки этого сертификата" и "Невозможно обнаружить поставщика этого сертификата.").

что делать?

CertSrv, CertEnroll и CertControl наружу открыты, SSL они не используют.
может ли препятствовать то, что в IIS не используются порты по-умолчанию.
прописано так:
порт TCP: 45677
порт SSL: 45777

... и, кроме того, на закладке "Состав" сертификата в пунктах "Точки распространения" и не помню_как_вторая_называется указаны URL'ы сервера, где вместо IP вписано имя компа сервера

Sergey Orlov,

не помогает.
IE, при открытии ресурса, показывается окошко, в котором надо выбирать установленный клиентский сертификат - оно пустое!!!
хотя в систему установлено 2 клиентских сертификата, сгенеренных и подписанных сервером (((