Utilisation de l'authentification par certificat client pour la publication sur HTTPS

Article
07/20/2010

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Pour utiliser l'authentification par certificat client pour la publication sur HTTPS

Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.
Dans le volet d'informations, cliquez sur la règle de publication Web appropriée.
Sous l'onglet Tâches, cliquez sur Modifier la règle sélectionnée.
Sous l'onglet Port d'écoute, cliquez sur Propriétés.
Sous l'onglet Connexions, vérifiez que l'option Autoriser les connexions SSL (HTTPS) sur le port est activée.
Si vous ne voulez pas autoriser les connexions HTTP sans authentification par certificat client, vérifiez que l'option Autoriser les connexions HTTP sur le port n'est pas activée.
Sous l'onglet Authentification, effectuez l'une des opérations suivantes :
1. Si l'option Méthode d'authentification auprès de Forefront TMG est définie sur Authentification HTTP ou Aucune authentification, sélectionnez Authentification des certificats de client SSL dans la liste déroulante, puis cliquez sur Avancé.
2. Si l'option Méthode d'authentification auprès de Forefront TMG est définie sur Authentification des formulaires HTML, cliquez sur Avancé. Vous devez sélectionner l'option Exiger un certificat client SSL uniquement si vous voulez exiger l'envoi d'un certificat client SSL dans la demande HTTPS avant la présentation du formulaire HTML à l'utilisateur.
Sous l'onglet Liste des certificats de confiance du client, sélectionnez l'une des options suivantes :
- Accepter tout certificat client approuvé par l'ordinateur Forefront TMG. Sélectionnez cette option si vous voulez obtenir la liste des autorités de certification valides pour inclure toutes les autorités de certification dont le certificat racine est installé dans le magasin Autorités de certification racine approuvées sur l'ordinateur Forefront TMG.
- Accepter uniquement les certificats clients émis par les autorités de certification sélectionnées ci-dessous. Sélectionnez cette option si vous voulez limiter la liste des autorités de certification dont les certificats sont approuvés.
Sous l'onglet Restrictions des certificats du client, définissez les restrictions que doivent respecter les certificats clients SSL.
Cliquez sur OK pour fermer la page Options d'authentification avancée.
Sous l'onglet Certificats, vérifiez qu'un certificat de serveur SSL est sélectionné, puis cliquez sur OK.
Pour l'authentification par formulaires, sous l'onglet Trafic, sélectionnez Exiger un certificat client SSL.
Cliquez sur OK.
Dans le volet d'informations, cliquez sur Appliquer, puis sur OK.

Remarque :
Un certificat client présenté à Forefront TMG est approuvé uniquement lorsque le certificat racine de l'autorité de certification qui l'a émis est installé dans le magasin Autorités de certification racine approuvées sur l'ordinateur Forefront TMG. Lors de la publication sur SSL, le certificat de serveur SSL émis pour le nom d'hôte public du site Web publié doit être installé dans le magasin personnel de l'ordinateur local sur chaque ordinateur Forefront TMG du groupe dans lequel la règle de publication Web est configurée. Pour plus d'informations sur l'utilisation de certificats de serveur pour la publication Web sécurisée, consultez Configuration de certificats de serveur pour la publication Web sécurisée. Lorsqu'un client tente de se connecter via Forefront TMG, la liste des autorités de certification valides lui est fournie par Forefront TMG dans le cadre de la négociation SSL. Cela permet à l'application cliente, telle qu'un navigateur Web, d'utiliser uniquement les certificats clients émis par une autorité de certification approuvée spécifique. Vous pouvez restreindre davantage l'ensemble de certificats qu'un client peut envoyer à Forefront TMG en créant des restrictions que doivent respecter les certificats clients SSL. De cette façon, il n'est plus utile que l'application cliente affiche la liste des certificats à l'utilisateur pour la sélection du certificat client approprié.

Un certificat client présenté à Forefront TMG est approuvé uniquement lorsque le certificat racine de l'autorité de certification qui l'a émis est installé dans le magasin Autorités de certification racine approuvées sur l'ordinateur Forefront TMG.
Lors de la publication sur SSL, le certificat de serveur SSL émis pour le nom d'hôte public du site Web publié doit être installé dans le magasin personnel de l'ordinateur local sur chaque ordinateur Forefront TMG du groupe dans lequel la règle de publication Web est configurée. Pour plus d'informations sur l'utilisation de certificats de serveur pour la publication Web sécurisée, consultez Configuration de certificats de serveur pour la publication Web sécurisée.
Lorsqu'un client tente de se connecter via Forefront TMG, la liste des autorités de certification valides lui est fournie par Forefront TMG dans le cadre de la négociation SSL. Cela permet à l'application cliente, telle qu'un navigateur Web, d'utiliser uniquement les certificats clients émis par une autorité de certification approuvée spécifique.
Vous pouvez restreindre davantage l'ensemble de certificats qu'un client peut envoyer à Forefront TMG en créant des restrictions que doivent respecter les certificats clients SSL. De cette façon, il n'est plus utile que l'application cliente affiche la liste des certificats à l'utilisateur pour la sélection du certificat client approprié.

Rubriques connexes

Concepts

Publication de serveurs Web sur HTTPS

Partager via

Utilisation de l'authentification par certificat client pour la publication sur HTTPS

Pour utiliser l'authentification par certificat client pour la publication sur HTTPS

Rubriques connexes

Concepts

Ressources supplémentaires