要求客户机验证

您可以为 Administration Server 和每个服务器实例启用侦听套接字，以要求客户机验证。启用客户机验证后，将需要客户机证书，然后服务器才将响应发送给查询。

Proxy Server 支持通过将客户机证书中的 CA 与用于签署客户机证书的信任 CA 相匹配来验证客户机证书。您可以通过 "Security" 选项卡的 "Manage Certificates" 页面查看用于客户机证书签名的受信任 CA 列表。

您可以对 Proxy Server 进行配置，以拒绝不具有来自受信任 CA 的客户机证书的任何客户机。要接受或拒绝受信任的 CA，必须对 CA 设置客户机信任。有关更多信息，请参见管理证书。

如果证书已到期，Proxy Server 将记录错误、拒绝证书并向客户机返回一条消息。也可以在 "Manage Certificates" 页面上查看已到期的证书。

您可以对服务器进行配置，以便从客户机证书收集信息并将其与 LDAP 目录中的用户条目相匹配。此过程可以确保客户机具有有效的证书和 LDAP 目录中的条目。而且还可以确保客户机证书与 LDAP 目录中的证书相匹配。要了解如何执行此操作，请参见将客户机证书映射到 LDAP。

您可以将客户机证书和访问控制结合使用，以便除了来自受信任的 CA 以外，与证书关联的用户还必须与访问控制规则 (ACL) 相匹配。有关更多信息，请参见使用访问控制文件。

要求客户机验证

1. 访问 Administration Server 或 Server Manager，然后单击 "Preferences" 选项卡。

2. 单击 "Edit Listen Sockets" 链接。

3. 单击将要求客户机验证的侦听套接字的链接。

4. 使用 "Client Authentication" 下拉式列表要求对侦听套接字进行客户机验证，然后单击 "OK"。