使用用戶端憑證驗證透過 HTTPS 發行
發佈時間: 2009年11月
適用於: Forefront Threat Management Gateway (TMG)
使用用戶端憑證驗證透過 HTTPS 發行
在 [Forefront TMG 管理] 主控台樹狀目錄中,按一下 [防火牆原則] 節點。
在詳細資料窗格中,按一下適用的網頁發行規則。
在 [工作] 索引標籤上,按一下 [編輯選取的規則]。
在 [接聽程式] 索引標籤上,按一下 [內容]。
在 [連線] 索引標籤上,確認 [在此連接埠上啟用 SSL (HTTPS) 連線] 已選取。
如果您不想要在沒有用戶端憑證驗證的情況下允許 HTTP 連線,請確認沒有選取 [在此連接埠上啟用 HTTP 連線]。
在 [驗證] 索引標籤上,執行下列其中一項:
如果 [用戶端用來向 Forefront TMG 驗證所使用的方法] 設定為 [HTTP 驗證] 或 [不驗證],請在下拉式清單中選取 [SSL 用戶端憑證驗證],並且按一下 [進階]。
如果 [用戶端用來向 Forefront TMG 驗證所使用的方法] 設定為 [HTML 表單驗證],請按一下 [進階]。只有當您想在 HTML 表單對使用者顯示之前,要求 SSL 用戶端憑證在 HTTPS 要求中傳送,才選取 [需要 SSL 用戶端憑證]。
在 [用戶端憑證信任清單] 索引標籤上,選取以下其中之一:
接受 Forefront TMG 電腦信任的任何用戶端憑證:如果您想要在可接受憑證授權單位的清單中,包含所有將根憑證安裝在 Forefront TMG 電腦上「信任的根憑證授權」存放區的憑證授權單位,請選取這個選項。
只接受下列選取的憑證授權單位所發出的用戶端憑證:如果您想要限制信任憑證之憑證授權單位的清單,請選取這個選項。
在 [用戶端憑證限制] 索引標籤中,定義 SSL 用戶端憑證必須符合的限制。
按一下 [確定] 以關閉 [進階驗證選項] 頁面。
在 [憑證] 索引標籤中,請確認已選取 SSL 伺服器憑證,然後按一下 [確定]。
針對表單型驗證,在 [流量] 索引標籤上,選取 [需要 SSL 用戶端憑證]。
按一下 [確定]。
在詳細資料窗格中,按一下 [套用],然後按一下 [確定]。
注意
- 只有當發行憑證之憑證授權單位的根憑證安裝在 Forefront TMG 電腦上的「信任的根憑證授權」存放區時,才信任提供給 Forefront TMG 的用戶端憑證。
- 透過 SSL 發行時,發行給發行網站之公用主機名稱的 SSL 伺服器憑證,必須在設定網頁發行規則的陣列中,安裝到其中每部 Forefront TMG 電腦的本機電腦「個人」存放區。如需有關在安全網頁發行中使用伺服器憑證的詳細資訊,請參閱設定伺服器憑證以確保網頁發行安全。
- 當用戶端嘗試透過 Forefront TMG 連線時,在 SSL 交握的過程中,Forefront TMG 會提供可接受憑證授權單位的清單給用戶端。這允許用戶端應用程式 (例如網頁瀏覽器) 只使用特定的信任憑證授權單位所發出的用戶端憑證。
- 您可以建立 SSL 用戶端憑證必須符合的限制,以進一步限制用戶端可以傳送至 Forefront TMG 的憑證組。這麼一來,用戶端應用程式就不必對使用者顯示憑證清單而讓其選取適當的用戶端憑證。