在反向代理中设置客户机验证

安全反向代理中的客户机验证为连接安全提供了进一步的保证。以下说明解释了如何根据所选择的方案配置客户机验证。

每种方案都假定，您既具有客户机到代理的安全连接，也具有代理到内容服务器的安全连接。

配置“代理服务器验证客户机”方案

1. 请遵循第 14 章的“设置反向代理”一节中有关配置客户机到代理的安全和代理到内容服务器的安全方案的说明。

2. 访问服务器实例的 Server Manager 并单击 "Preferences" 选项卡。

3. 单击 "Edit Listen Sockets" 链接，然后单击所显示表中需要的侦听套接字的链接。

   （使用 "Add Listen Socket" 链接可配置和添加侦听套接字。）

4. 指定客户机验证要求：

   1. 允许具有有效证书的所有用户的访问：

      在 "Security" 部分中，使用 "Client Authentication" 设置要求对此侦听套接字进行客户机验证。如果尚未安装服务器证书，此设置将不可见。

   2. 仅允许不但具有有效证书，而且还在访问控制中被指定为可接受用户的那些用户的访问：

      1. 在 "Security" 部分中，将 "Client Authentication" 设置保留为关闭状态。如果尚未安装服务器证书，此设置将不可见。

      2. 在此服务器实例的 Server Manager "Preferences" 选项卡中，单击 "Administer Access Control" 链接。

      3. 选择一个 ACL，然后单击 "Edit" 按钮。

         此时将显示 "Access Control Rules For" 页面（如果出现提示，将首先验证）。

      4. 打开访问控制（如果未选中 "Access control Is On" 复选框，请将其选中）。

      5. 将 Proxy Server 设置为作为反向代理进行验证。

         有关更多信息，请参见设置反向代理。

      6. 单击所需访问控制规则的 "Rights" 链接，在下面的框架中指定访问权限，然后单击 "Update" 以更新该条目。

      7. 单击 "Users/Groups" 链接。在下面的框架中，指定用户和组，选择 SSL 作为验证方法，然后单击 "Update" 以更新该条目。

      8. 在上面的框架中，单击 "Submit" 以保存条目。

         有关设置访问控制的更多信息，请参见第 8 章。

配置“内容服务器验证代理服务器”方案

1. 请遵循设置反向代理中有关配置客户机到代理服务器的安全和代理服务器到内容服务器的安全方案的说明。

2. 在内容服务器中，打开客户机验证。

   您可以修改此方案，以便与 Proxy Server 进行不安全客户机连接，与内容服务器进行安全连接，并使内容服务器验证 Proxy Server。为此，必须关闭加密功能，并要求代理仅按以下步骤中所述来初始化证书。

配置“代理验证客户机且内容服务器验证代理”方案

1. 请遵循配置“代理服务器验证客户机”方案中有关配置“代理服务器验证客户机”方案的说明。

2. 在内容服务器中，打开客户机验证。