IIS代理使用ARR通过SSL提供客户端证书

Question

我在Windows 2008 R2下使用ARR配置了IIS 7代理。 我的目标是让IIS代理在执行WebService调用时提供客户端证书。 见＆＃34;图＆＃34;下面。

1. 服务器A - （通过https进行SOAP调用） - ＆gt; IIS代理 - （通过https进行SOAP调用） - ＆gt;服务器B（外部WS）
2. 服务器B - （客户端证书请求） - ＆gt; IIS代理（提供PKCS12证书的公共部分）
3. IIS代理 - （发送证书并完成TLS握手） - ＆gt;服务器B
4. 服务器A - （发送SOAP消息） - ＆gt; IIS代理 - （SOAP消息） - ＆gt;服务器B
5. 服务器B - （响应） - ＆gt; IIS代理 - （响应） - ＆gt;服务器A

我到第1步，然后收到错误＆＃34; HTTP错误502.3 - 错误网关＆＃34; （0x80072f0c） Err.exe报告0x80072f0c为错误＆＃34; ERROR_INTERNET_CLIENT_AUTH_CERT_NEEDED＆＃34;。

我已将PKCS12证书导入IIS。 我已将PKCS12认证机构导入＆＃34;中级认证机构＆＃34;和＃34;受信任的根证书颁发机构＆＃34;使用mmc获取PKCS12证书。

我在这里缺少什么？

Answer 1

我正在考虑实现类似于你的东西，并发现这个http://blogs.msdn.com/b/asiatech/archive/2014/01/28/configuring-arr-with-client-certificate.aspx似乎暗示你可以通过ARR代理将客户端证书从客户端传递到后端服务器。

谢谢，

乔恩

Answer 2

我了解到IIS 7.5无法解决这个问题。 IIS + ARR无法代表“服务器A”提供证书。

然而，这可以使用Apache下的代理来解决。

我很高兴有人证明我错了！