Назад | Перейти на главную страницу

TMG с клиентскими сертификатами для TS Gateway

Как настроить проверку подлинности сертификата на стороне клиента с помощью корпоративного центра сертификации для шлюза служб терминалов через Forefront TMG 2010?

На сегодняшний день я выполнил следующее:

В разные моменты я также пробовал включать / отключать сертификаты клиентов в моем экземпляре IIS, параметры «требовать сертификат клиента ssl» и «требовать аутентификации всех пользователей» в TMG и несколько параметров в списке доверенных сертификатов клиента-клиента.

Я также просмотрел несколько дополнительных страниц - 2 и 3 и 4 среди многих других.

РЕДАКТИРОВАТЬ - меня особенно интересуют любые части конфигурации, связанные с прослушивателем, IIS или RADIUS, но краткое изложение всего, вероятно, будет полезно для сообщества в целом.

TMG может преобразовать сертификат клиента, связанный с учетной записью пользователя Windows, во внутреннее аутентифицированное (например, NTLM или Curb) соединение с TSG.

Но TSG не увидит сертификат клиента; клиентские сертификаты работают для одного прыжка, вот и все.

Итак, функционально вы относитесь к TSG как к любому другому веб-сайту:

  • сделать TMG членом домена (и убедиться, что он доверяет выдающему ЦС; это «естественно» для члена домена с ЦС выдачи Ent, установленным в лесу, поэтому работы не требуется)
  • убедитесь, что клиентские сертификаты, выданные клиентским пользователям, связаны с этим пользователем в AD.
  • отключить аутентификацию сертификата клиента на уровне веб-сайта (т. е. TSG) и использовать встроенную аутентификацию
  • настроить TMG для приема клиентских сертификатов и пересылки интегрированных кредитов на веб-сайт (TSG)

Любое руководство по аутентификации сертификата клиента Exchange (/ activesync) с использованием ISA или TMG может быть использовано в качестве шаблона для этого.