我们正在运行 ISA 2006 和 IIS6。两者都在 Windows 2003 计算机上。我们已经在 SSL 连接下发布了一个网站。
是否可以让 ISA 服务器传承有 IIS (和 Web 应用程序) 的客户端证书吗?我们需要客户端证书来验证用户是否可以查看网站。
简单的 ISA 规则阻止任何没有证书的人,这是不可能的,因为在这种情况下我们会重定向到登录页面。放弃 ISA 服务器也不是一种选择,因为管理员会杀了我。
答案1
需要 SSL 的站点的标准反向发布应该在 ISA 服务器上安装 SSL 证书。
在 IIS6 上,您可以指定根站点不需要强制实施 SSL,并且安全页面将放置在已启用“强制安全连接”复选框的子文件夹中。(它位于 IIS、站点属性、安全性、最后一个按钮(设置)中)。通过这种方式,您可以强制 1 个或多个文件夹为 SSL。
答案2
根据 SSL 的设计方式,您只有一个选择:让 ISA 拥有用户证书的副本,以便在与后端服务器建立连接时代表用户出示该证书。
SSL 的发明(除其他原因外)专门是为了防止中间人攻击,这正是您试图通过配置实现的目标(因为您需要查看未加密的请求才能从中获取“Host:”标头)。
无法访问全部通过该代理使用的客户端证书(及其相应的私钥)不适用于 MS ISA、BlueCoat、Squid ......或其他任何系统。
@Dexter