Usando a autenticação de certificados de cliente para publicação em HTTPS
Publicado: novembro de 2009
Aplica-se a: Forefront Threat Management Gateway (TMG)
Para usar a autenticação de certificado de cliente para publicação em HTTPS
Na árvore do console de Gerenciamento do Forefront TMG, clique no nó Diretiva de Firewall.
No painel de detalhes, clique na regra de publicação de Web aplicável.
Na guia Tarefas, clique em Editar Regra Selecionada.
Na guia Ouvinte, clique em Propriedades.
Na guia Conexões, verifique se Habilitar conexões SSL (HTTPS) na porta está selecionado.
Se você não desejar permitir conexões HTTP sem a autenticação do certificado de cliente, verifique se Habilitar conexões HTTP na porta não está selecionado.
Na guia Autenticação, siga um destes procedimentos:
Se Métodos usados pelos clientes para autenticação no Forefront TMG estiver configurado para Autenticação HTTP ou para Sem Autenticação, selecione Autenticação de Certificado de Cliente SSL na lista suspensa e clique em Avançado.
Se Métodos usados pelos clientes para autenticação no Forefront TMG estiver configurado para Autenticação de Formulário HTML, clique em Avançado. Você deve selecionar Exigir certificado de cliente SSL somente se desejar exigir que um certificado de cliente SSL seja enviado na solicitação HTTPS antes da apresentação do formulário HTML para o usuário.
Na guia Lista de Certificados Confiáveis de Cliente, selecione uma destas opções:
Aceitar qualquer certificado de cliente em que o computador do Forefront TMG confia. Selecione essa opção se desejar que a lista das autoridades de certificação aceitáveis inclua todas as autoridades de certificação cujo certificado raiz esteja instalado no repositório de Autoridades de Certificação Raiz Confiáveis no computador do Forefront TMG.
Aceitar somente certificados de cliente emitidos pelas autoridades de certificação selecionadas abaixo. Selecione essa opção se desejar limitar a lista de autoridades de certificação cujos certificados serão confiáveis.
Na guia Restrições de Certificado de Cliente, defina as restrições a que os certificados de cliente SSL deverão corresponder.
Clique em OK para fechar a página Opções Avançadas de Autenticação.
Na guia Certificados, verifique se um certificado do servidor SSL está selecionado e clique em OK.
Para autenticação baseada em formulários, na guia Tráfego, selecione Exigir Certificado de Cliente SSL.
Clique em OK.
No painel de detalhes, clique em Aplicar e em OK.
Dica
- Um certificado de cliente apresentado para o Forefront TMG é confiável apenas quando o certificado raiz da autoridade de certificação que o emitiu está instalado no repositório de Autoridades de Certificação Raiz Confiáveis no computador do Forefront TMG.
- Na publicação em SSL, um certificado de servidor SSL emitido para o nome de host público do site publicado deverá ser instalado no repositório Pessoal do computador local em cada computador do Forefront TMG na matriz em que a regra de publicação na Web está configurada. Para obter mais informações sobre como usar certificados de servidor para publicação segura na Web, consulte Configurando certificados de servidor para publicação segura na Web.
- Quando um cliente tentar se conectar por meio do Forefront TMG, uma lista de autoridades de certificação aceitáveis é fornecida pelo Forefront TMG para o cliente como parte do handshake do SSL. Isso permite que o aplicativo cliente, como um navegador da Web, use somente os certificados de cliente emitidos por uma autoridade de certificação confiável específica.
- É possível restringir ainda mais o conjunto de certificados que um cliente pode enviar ao Forefront TMG por meio da criação de restrições às quais os certificados de cliente SSL deverão atender. Desse modo, é possível eliminar a necessidade do aplicativo cliente para exibir uma lista de certificados para o usuário selecionar o certificado de cliente apropriado.