Terminal-Server

帶有用於 TS 網關的客戶端證書的 TMG

  • December 31, 2011

如何通過 Forefront TMG 2010 使用企業 CA 為 TS 網關設置客戶端證書身份驗證?

迄今為止,我已執行以下操作:

  • 我有一個終端服務網關配置並在內部工作。
  • 我設置了一個基本的未經身份驗證的發布規則來測試證書等是否良好。
  • 我根據這篇 technet 文章更新了這條規則。

在不同的點上,我還嘗試在我的 IIS 實例上啟用/禁用客戶端證書、TMG 中的“需要 ssl 客戶端證書”和“要求所有使用者進行身份驗證”選項以及客戶端客戶端證書信任列表中的幾個選項。

我還查看了其他幾頁 - 234等等。

編輯 - 我對配置的任何偵聽器、IIS 或 RADIUS 特定部分特別感興趣,但整體摘要可能對整個社區有益。

TMG 可以在內部將與 Windows 使用者帳戶關聯的客戶端證書轉換為經過身份驗證的(即 NTLM 或 Kerb)與 TSG 的連接。

但是 TSG 不會看到客戶端證書;客戶端證書適用於單跳,僅此而已。

因此,在功能上,您將 TSG 視為任何其他網站:

  • 使 TMG 成為域成員(並確保它信任頒發 CA;對於在林中安裝了 Ent 頒發 CA 的域成員來說這是“自然的”,因此不需要工作)
  • 確保頒發給客戶端使用者的客戶端證書與 AD 中的該使用者相關聯
  • 在網站級別(即 TSG)禁用客戶端證書身份驗證並使用集成身份驗證
  • 配置 TMG 以接受客戶端證書並將集成憑據轉發到網站 (TSG)

任何使用 ISA 或 TMG 的 Exchange (/activesync) 客戶端證書身份驗證指南都可以用作此模板。

引用自:https://serverfault.com/questions/341040