Чтобы использовать проверку подлинности сертификата клиента для публикации через HTTPS, необходимо выполнить следующие действия.

  1. В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

  2. В области сведений выберите соответствующее правило веб-публикации.

  3. На вкладке Задачи нажмите кнопку Изменить выбранное правило.

  4. На вкладке Прослушиватель нажмите кнопку Свойства.

  5. Убедитесь, что на вкладке Подключения выбран параметр Включить подключения SSL (HTTPS) для данного порта.

  6. Если необходимо запретить HTTP-соединения, не прошедшие проверку подлинности сертификата клиента, отключите параметр Включить подключения HTTP для данного порта.

  7. На вкладке Проверка подлинности выполните одно из следующих действий.

    1. Если для пункта Метод, используемый клиентами при проверке подлинности на Forefront TMG установлены параметры Проверка подлинности HTTP или Без проверки, в раскрывающемся списке выберите Проверка подлинности SSL-сертификата клиента и щелкните Дополнительно.

    2. Если для пункта Метод, используемый клиентами при проверке подлинности на Forefront TMG установлен параметр Проверка подлинности на основе HTML-форм, нажмите кнопку Дополнительно. Выберите Требовать SSL-сертификат клиента, только если необходимо, чтобы SSL-сертификат клиента отправлялся в HTTPS-запросе до вывода HTML-формы.

  8. На вкладке Список доверенных сертификатов клиентов выберите один из следующих вариантов.

    • Принимать любые сертификаты клиента, являющиеся доверенными для компьютера Forefront TMG. Выберите этот вариант, если необходимо, чтобы в список доступных центров сертификации входили все центры сертификации, корневой сертификат которых установлен в хранилище доверенных корневых центров сертификации на компьютере Forefront TMG.

    • Принимать только сертификаты, выпущенные центрами сертификации, указанными ниже. Выберите этот вариант, если необходимо ограничить список центров сертификации, имеющих доверенные сертификаты.

  9. На вкладке Ограничения сертификатов клиентов укажите ограничения для SSL-сертификатов клиентов.

  10. Нажмите кнопку ОК, чтобы закрыть страницу Дополнительные параметры проверки подлинности.

  11. На вкладке Сертификаты убедитесь, что выбран SSL-сертификат сервера, и нажмите кнопку OK.

  12. Для проверки подлинности на основе форм на вкладке Трафик выберите Требовать SSL-сертификат клиента.

  13. Нажмите кнопку ОК.

  14. В области сведений нажмите кнопку Применить, а затем — кнопку ОК.

Примечание.
  • Сертификат клиента, предъявляемый Forefront TMG, является доверенным, только если корневой сертификат центра сертификации установлен в хранилище доверенных корневых центров сертификации на компьютере Forefront TMG.

  • При публикации через протокол SSL SSL-сертификат сервера, выпущенный для внешнего имени опубликованного веб-сайта, должен быть установлен в персональном хранилище локального компьютера на каждом компьютере Forefront TMG в массиве, для которого настроено правило веб-публикации. Более подробные сведения об использовании сертификатов серверов для безопасной веб-публикации см. в разделе Настройка сертификатов сервера для безопасной веб-публикации.

  • Когда клиент соединяется через Forefront TMG, список доступных центров сертификации Forefront TMG предоставляется клиенту как часть SSL-подтверждения. Это позволяет клиентскому приложению, например веб-обозревателю, использовать только сертификаты клиентов, выпущенные доверенным центром сертификации.

  • Можно ограничить набор сертификатов, которые клиент может отправить в Forefront TMG, создав ограничения для SSL-сертификатов клиентов. Таким образом в клиентском приложении можно исключить необходимость отображения списка сертификатов для выбора подходящего сертификата клиента.

См. также


© Корпорация Майкрософт, 2009 Все права защищены.