我们有一个以前使用ISA 2006 SP1标准服务器发布规则发布的IIS6网站。 在IIS中,我们要求在访问网站之前提供一个客户端证书…这一切都很好,很好。
现在,我们希望在这个网站上使用ISA 2006 SP1上的Web发布规则。 但是,现在似乎客户端证书没有得到处理,所以当然用户不能访问网站。
我已经阅读了一些文章,说明证书的CA需要安装在ISA服务器上的受信任的根证书颁发机构存储(我已经这样做),以及在ISA服务器上安装客户端证书)。 我也已经validation了ISA Server能够访问我们的CA的CRL没问题…
在Web发布规则的侦听器属性中,在“身份validation”和“客户端身份validation方法”下,有一个SSL客户端证书身份validation选项…我select此选项,但似乎唯一可选的身份validation方法是Windows(Active Directory)。 …在这个环境中没有Active Directory。 当我configuration默认的规则,然后我尝试打我的网站,它提示我的证书,我select它,打好了…然后我给了以下错误
错误代码:500内部服务器错误。 服务器拒绝指定的统一资源定位符(URL)。 联系服务器pipe理员。 (12202)
我检查ISA服务器和安全日志中的事件日志,我看到事件ID 536,失败Aud。 原因:NetLogon组件不活动。 我觉得这很明显,因为没有可用的活动目录。
有没有办法使这个networking发布规则在这个工作组环境中使用客户端证书工作?
任何build议或链接到有用的文件将不胜感激!
对不起 – 与基于ISA的产品(包括TMG 2010),这不能在工作组模式下工作。 客户端证书身份validation始终假定由Active Directory执行 – 没有IIS客户端证书映射程序等效(只是执行本地信箱证书)。
也许你可以看看使用ARR (应用程序请求路由), 而不是 ?
在ISA 2006 SP1 中 ,证书的辅助authentication在工作组中受支持:
http://blogs.technet.com/b/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx
注意警告:
function仅限于将客户端证书身份validation用作基于Forms-Based身份validation的辅助身份validationscheme的情况
假设该function在FF TMG中没有被删除?
(说 – 就像我试过,我从来没有得到它的工作 – 总是得到一个证书撤销错误)