Мы используем ISA 2006 и IIS6. Оба на машинах с Windows 2003. Мы опубликовали веб-сайт с использованием SSL-соединения.
Можно ли позволить ISA серверу пройти вниз какие-либо клиентские сертификаты для IIS (и веб-приложения)? Нам нужны клиентские сертификаты, чтобы убедиться, что пользователь может просматривать сайт.
Простое правило ISA, которое блокирует всех, у кого нет сертификата, не подходит, потому что в этом случае мы перенаправляемся на страницу входа. Отказ от ISA-сервера тоже не вариант, потому что администраторы убьют меня.
Стандартная обратная публикация сайта, которому требуется SSL, должна иметь сертификат SSL, установленный на сервере ISA.
В IIS6 вы можете указать, что корневой сайт не требуется для принудительного применения SSL, а защищенные страницы помещаются во вложенную папку, в которой установлен флажок «принудительное безопасное соединение». (Это в IIS, свойствах сайта, безопасности, последней кнопке (настройках)). Таким образом вы можете принудительно использовать SSL для одной или нескольких папок.
В зависимости от того, как разработан SSL, у вас есть только один вариант: иметь ISA копию сертификата пользователя, чтобы он представлял ее от имени пользователя при установлении соединения с внутренним сервером.
SSL был изобретен (среди прочего) специально для предотвращения атак типа "злоумышленник посередине", чего вы и пытаетесь достичь с помощью своей конфигурации (поскольку вам нужно увидеть незашифрованный запрос, чтобы получить заголовок "Host:" от него).
Без доступа к все клиентские сертификаты (и их соответствующие закрытые ключи), которые когда-либо будут использоваться через этот прокси, он не будет работать ни с MS ISA, ни с BlueCoat, ни с Squid ... или с чем-либо еще.
@Dexter