我们有一个 IIS6 网站,之前使用 ISA 2006 SP1 标准服务器发布规则发布。在 IIS 中,我们要求提供客户端证书才能访问该网站... 一切都运行良好。
现在我们希望在 ISA 2006 SP1 上为同一个网站使用 Web 发布规则。但是,现在似乎没有处理客户端证书,因此用户当然无法访问该网站。
我读过几篇文章,其中指出证书的 CA 需要安装在 ISA Server 上的受信任根证书颁发机构存储中(我已经这样做了),以及在 ISA Server 上安装客户端证书(也这样做了)。我还验证了 ISA Server 能够毫无问题地访问我们的 CA 的 CRL...
在 Web 发布规则的侦听器属性中,在身份验证和客户端身份验证方法下,有一个 SSL 客户端证书身份验证选项...我选择这个,但似乎唯一可选的身份验证验证方法是 Windows (Active Directory)...此环境中没有 Active Directory。当我使用默认值配置规则时,我尝试访问我的网站,它会提示我输入证书,我选择它并点击确定...然后我收到以下错误
错误代码:500 内部服务器错误。服务器拒绝指定的统一资源定位器 (URL)。请联系服务器管理员。(12202)
我检查了 ISA 服务器上的事件日志,在安全日志中,我看到事件 ID 536,失败审计。原因:NetLogon 组件未处于活动状态。我认为这很明显,因为没有可用的活动目录。
有没有办法让此 Web 发布规则在此工作组环境中使用客户端证书发挥作用?
如有任何建议或有用文档的链接,我们将不胜感激!
答案1
答案2
在 ISA 2006 SP1 中次要的工作组支持通过证书进行身份验证:
http://blogs.technet.com/b/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx
请注意警告:
此功能仅限于将客户端证书身份验证与基于表单的身份验证结合使用作为辅助身份验证方法的场景
假设该功能尚未在 FF TMG 中删除?
(话虽如此 - 尽管我尝试了很多次,但从来没有让它工作过 - 总是收到证书撤销错误)