Temos um site IIS6 que foi publicado anteriormente usando uma regra de publicação de servidor padrão do ISA 2006 SP1. No IIS, solicitamos que um certificado de cliente fosse fornecido antes que o site pudesse ser acessado ... tudo funcionou bem e muito bem.
Agora, queremos usar uma regra de publicação na Web no ISA 2006 SP1 para esse mesmo site. No entanto, parece que o certificado do cliente não é processado agora, então é claro que o usuário não pode acessar o site.
Eu li alguns artigos informando que a CA para o certificado precisa ser instalado no armazenamento das autoridades de certificação raiz confiáveis no ISA Server (eu fiz isso), bem como instalar o certificado de cliente no ISA Server ( feito também). Eu também verifiquei que o ISA Server é capaz de acessar a CRL para o nosso CA sem problemas ...
Nas propriedades do listener para a regra de publicação na Web, em Autenticação e Método de Autenticação do Cliente, há uma opção para Autenticação de Certificado de Cliente SSL ... seleciono isso, mas parece que o único Método de Validação de Autenticação selecionável é Windows Diretório) .... não há Active Directory neste ambiente. Quando eu configuro a regra com os padrões, eu tento acessar o meu site e ele solicita o meu certificado, eu escolho e clico ok ... então eu recebo o seguinte erro
Código de erro: 500 Internal Server Error. O servidor negou o URL especificado (Uniform Resource Locator). Entre em contato com o administrador do servidor. (12202)
Eu verifico os logs de eventos no ISA Server e nos Security Logs, vejo a ID de Evento 536, Failure Aud. O motivo: o componente NetLogon não está ativo. Eu acho que isso é bastante óbvio, já que não há um diretório ativo disponível.
Existe uma maneira de fazer com que esta regra de publicação na web funcione usando certificados de clientes neste ambiente de grupo de trabalho?
Todas as sugestões ou links para documentos úteis serão muito apreciados!
Desculpe - com produtos baseados em ISA (incluindo o TMG 2010), isso nunca funciona no modo de grupo de trabalho. Presume-se que a autenticação de certificado de cliente seja executada pelo Active Directory - não há equivalente do Mapeador de certificado de cliente do IIS (que apenas certifica certificados de caixa local).
Talvez você possa usar ARR (roteiro de solicitação de aplicativo) ) em vez ?
no ISA 2006 SP1 secundário auth por um certificado é suportado em um grupo de trabalho:
observe a advertência:
feature is limited to scenarios where client certificate authentication is used as a secondary authentication mehod with Forms-Based authentication
a assume que o recurso não foi removido no FF TMG?
(isso dito - por mais que eu tenha tentado, nunca consegui que funcionasse - sempre recebo um erro revogado pelo certificado)
Tags isa-server