我有一个configuration了ARR的IIS服务器来将代理请求反向到后端服务器。 后端服务器需要客户端证书身份validation,但只需要对反向代理 (不是最终用户) 进行身份validation 。
最终用户身份validation在请求的内容中传递,而不是问题的一部分。
End User -->-- IIS with ARR -->(mutual SSL)>-- Backend web server
如何在IIS或ARR中configuration客户端证书?
在search时,我经常会发现与将客户端证书从最终用户转发到后端服务器相关的问题和线索,这是不可能的。 此外,这些通常表示closures后端服务器上的客户端证书身份validation,但必须保持打开状态。
以下是我发现的一些问题,但都涉及最终用户客户端证书:
有可能是微软ARR使用CAPI来存储它的证书,但是即使你提供了证书,也不能保证ARR会使用它。 客户端身份validation需要额外的代码,而您的要求并不常见。 它可能已经被忽视,并被抛在后面…
要使您的客户端证书可用于服务,您必须编辑其“我的”CAPI商店。 从提升的提示符运行mmc.exe并添加证书pipe理单元。 您将不得不select使用哪个CAPI商店。 select电脑的商店。 在“个人证书”中导入你的证书,确保你input了私钥(当你回来查看你导入的证书时会这样说)。
如果将您的证书添加到计算机商店不起作用,请尝试服务商店。 如果ARR以自己的身份运行,这将是必需的。
AD-LDS也存在一个问题,即服务没有对私钥的读访问权限。 这篇文章很有帮助,但是对ARR来说可能太遥远了。 在该页面中查找ADAM特例,您正在查找的命令是
Certutil –V –Verifystore MY 0