Freigeben über

Verwenden der Clientzertifikatauthentifizierung zum Veröffentlichen über HTTPS

  • Artikel

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

So verwenden Sie die Clientzertifikatauthentifizierung zum Veröffentlichen über HTTPS

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Detailbereich auf die entsprechende Webveröffentlichungsregel.

  3. Klicken Sie auf der Registerkarte Aufgaben auf Ausgewählte Regel bearbeiten.

  4. Klicken Sie auf der Registerkarte Listener auf Eigenschaften.

  5. Überprüfen Sie auf der Registerkarte Verbindungen, dass die Option SSL-Verbindungen (HTTPS) aktivieren an Port aktiviert ist.

  6. Wenn Sie keine HTTP-Verbindungen ohne Clientzertifikatauthentifizierung zulassen möchten, überprüfen Sie, dass HTTP-Verbindungen aktivieren an Port deaktiviert ist.

  7. Führen Sie auf der Registerkarte Authentifizierung einen der folgenden Schritte durch:

    1. Wenn für Methode, mit der sich Clients bei Forefront TMG authentifizieren die Option HTTP-Authentifizierung oder Keine Authentifizierung festgelegt ist, wählen Sie in der Dropdownliste den Eintrag SSL-Clientzertifikatsauthentifizierung aus, und doppelklicken Sie dann auf Erweitert.

    2. Wenn für Methode, mit der sich Clients bei Forefront TMG authentifizieren die Option HTML-Formularauthentifizierung festgelegt ist, klicken Sie auf Erweitert. Sie sollten SSL-Clientzertifikat anfordern nur aktivieren, wenn es erforderlich sein soll, dass ein SSL-Clientzertifikat in der HTTPS-Anforderung gesendet werden kann, bevor das HTML-Formular dem Benutzer präsentiert wird.

  8. Wählen Sie auf der Registerkarte Clientzertifikatsvertrauensliste eine der folgenden Optionen aus:

    • Alle Clientzertifikate akzeptieren, die für Forefront TMG-Computer vertrauenswürdig sind. Aktivieren Sie diese Option, wenn die Liste der akzeptablen Zertifizierungsstellen alle Zertifizierungsstellen einbeziehen soll, deren Stammzertifikat im Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem Forefront TMG-Computer installiert ist.

    • Nur Clientzertifikate akzeptieren, die für das ausgewählte Stammzertifikat der Zertifizierungsstelle vertrauenswürdig sind. Wählen Sie diese Option aus, wenn Sie die Liste der Zertifizierungsstellen einschränken möchten, deren Zertifikaten vertraut wird.

  9. Definieren Sie auf der Registerkarte Clientzertifikatsbeschränkungen die Einschränkungen, denen die SSL-Clientzertifikate entsprechen müssen.

  10. Klicken Sie auf OK, um die Seite Erweiterte Authentifizierungsoptionen zu schließen.

  11. Überprüfen Sie auf der Registerkarte Zertifikate, dass ein SSL-Serverzertifikat ausgewählt ist, und klicken Sie dann auf OK.

  12. Wählen Sie für die formularbasierte Authentifizierung auf der Registerkarte Datenverkehr die Option SSL-Clientzertifikat erforderlich aus.

  13. Klicken Sie auf OK.

  14. Klicken Sie im Detailbereich auf Übernehmen und dann auf OK.

Hinweis

  • Ein Forefront TMG präsentiertes Clientzertifikat ist nur vertrauenswürdig, wenn das Stammzertifikat der ausstellenden Zertifizierungsstelle im Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem Forefront TMG-Computer installiert ist.

  • Wenn die Veröffentlichung über SSL erfolgt, muss ein für den öffentlichen Hostnamen der veröffentlichten Website ausgestelltes SSL-Serverzertifikat im Speicher Eigene Zertifikate für den lokalen Computer auf jedem Forefront TMG-Computer in dem Array installiert werden, in dem die Webveröffentlichungsregel konfiguriert ist. Weitere Informationen zum Verwenden von Serverzertifikaten zur sicheren Webveröffentlichung finden Sie unter Konfigurieren von Serverzertifikaten für die SSL-Webveröffentlichung.

  • Wenn ein Client versucht, die Verbindung über Forefront TMG herzustellen, dann wird dem Client von Forefront TMG als Teil des SSL-Handshakes eine Liste von akzeptablen Zertifizierungsstellen bereitgestellt. Dies ermöglicht es der Clientanwendung, z. B. einem Webbrowser, nur die Clientzertifikate zu verwenden, die von einer bestimmten vertrauenswürdigen Zertifizierungsstelle ausgestellt wurden.

  • Sie können den Satz von Zertifikaten, den ein Client an Forefront TMG senden kann, weiter einschränken, indem Einschränkungen erstellt werden, denen die SSL-Clientzertifikate entsprechen müssen. Auf diese Weise können Sie es der Clientanwendung ersparen, dem Benutzer eine Liste von Zertifikaten zur Auswahl des entsprechenden Clientzertifikats anzuzeigen.

Verwandte Themen

Konzepte

Veröffentlichen von Webservern über HTTPS