web-dev-qa-db-ja.com

ISA 2006SP1-ワークグループ環境でのSSLクライアント証明書認証

以前にISA 2006SP1標準サーバー公開ルールを使用して公開されたIIS6Webサイトがあります。IISでは、Webサイトの前にクライアント証明書を提供する必要がありました。アクセスできました...これはすべてうまく機能し、ダンディでした。

ここで、この同じWebサイトに対してISA 2006 SP1でWeb公開ルールを使用します。ただし、クライアント証明書が処理されていないようであるため、もちろんユーザーはアクセスできません。ウェブサイト。

証明書のCAをISAサーバー(私はこれを実行しました)の信頼されたルート認証局ストアにインストールする必要があること、およびクライアントをインストールする必要があることを示すいくつかの記事を読みましたISAサーバー上の証明書(同様に完了)。ISAサーバーがCAのCRLに問題なくアクセスできることも確認しました。 。

Web公開ルールのリスナープロパティの[認証]と[クライアント認証方法]に、SSLクライアント証明書認証のオプションがあります...これを選択しましたが、選択可能な認証検証方法はWindows(Active Directory)のみであるようです。 ...この環境にはActiveDirectoryはありません。デフォルトでルールを構成すると、Webサイトにアクセスしようとすると、証明書の入力を求められます。それを選択して[OK]をクリックすると、次のエラーが発生します。

エラーコード:500内部サーバーエラー。サーバーは、指定されたURI(Uniform Resource Locator)を拒否しました。サーバー管理者に連絡してください。 (12202)

ISAサーバーのイベントログを確認すると、セキュリティログにイベントID 536、失敗の監査が表示されます。理由:NetLogonコンポーネントがアクティブではありません。これは、そこにあるため、かなり明白だと思います。利用可能なActiveDirectoryはありません。

このワークグループ環境でクライアント証明書を使用してこのWeb公開ルールを機能させる方法はありますか?

役立つドキュメントへの提案やリンクをいただければ幸いです。

1
JoshODBrown

in ISA 2006 SP1secondary証明書による認証は、ワークグループでサポートされています。

http://blogs.technet.com/b/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx

警告に注意してください:

機能は、クライアント証明書認証がフォームベース認証の2次認証方法として使用されるシナリオに限定されます

機能がFFTMGで削除されていないと仮定しますか?

(とは言っても、私が試したのと同じように、それが機能することはありませんでしたが、常に証明書が取り消されたエラーが発生します)

1
aps

申し訳ありませんが、ISAベースの製品(TMG 2010を含む)では、これはワークグループモードでは機能しません。クライアント証明書認証は常にActiveDirectoryによって実行されると想定されます-IISクライアント証明書マッパーに相当するものはありません(ローカルボックスの信頼できる証明書を実行するだけです)。

おそらく、 [〜#〜] arr [〜#〜] (アプリケーションリクエストルーティング) 代わりに

1
TristanK