如何通过 Forefront TMG 2010 为 TS 网关使用企业 CA 设置客户端证书身份验证?
到目前为止我已经执行了以下操作:
- 我已配置好终端服务网关并在内部运行。
- 我建立了基本的未经身份验证的发布规则来测试证书等是否良好。
- 我根据以下规则更新了此规则这篇 Technet 文章。
在不同时间点,我还尝试启用/禁用我的 IIS 实例上的客户端证书、TMG 中的“需要 SSL 客户端证书”和“要求所有用户进行身份验证”选项以及客户端客户端证书信任列表中的几个选项。
编辑 - 我特别对任何侦听器、IIS 或 RADIUS 配置的特定部分感兴趣,但整体的总结可能会对整个社区有益。
答案1
TMG 可以将与 Windows 用户帐户关联的客户端证书转换为与 TSG 内部的经过身份验证(即 NTLM 或 Kerb)的连接。
但是 TSG 看不到客户端证书;客户端证书仅适用于单跳,仅此而已。
因此从功能上来说,您可以将 TSG 与任何其他网站一样对待:
- 使 TMG 成为域成员(并确保它信任颁发 CA;对于在林中安装了 Ent 颁发 CA 的域成员来说,这是“自然的”,因此不需要工作)
- 确保颁发给客户端用户的客户端证书与 AD 中的该用户相关联
- 在网站级别(即 TSG)禁用客户端证书身份验证并使用集成身份验证
- 配置 TMG 以接受客户端证书并将集成凭证转发到网站(TSG)
任何使用 ISA 或 TMG 的 Exchange (/activesync) 客户端证书身份验证指南都可以作为此操作的模板。