locked
Internet <-> Forefront 2010 <-> Webserver IIS mit http und https RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Das TechNet hat ja inzwischen eine Fülle von hilfreichen Informationen und Hilfen. Umso schwerer ist die für einen Notwendige Information zu suchen und zu finden. Vielleicht kann mir jemand zu unserer Problemstellung hier weiterhelfen, evtl. mit entsprechen Links.

    Die Konfiguration:
    Wir haben einen Webserver der in einem AD eingebunden hinter einem Forefront 2010 fürs Internet Webseiten bereitstellt (alle 2008R2).
    Das funktioniert auch ohne Probleme, was wir suchen ist die richtige Konfiguration bei Webseiten die auch unter https erreichbar sein sollen.

    Was ist hier die richtige Regel (best practice) dafür, dem Forefront Server weitere öffentliche IPs zuweisen und die Zertifikate der einzelnen Domains dort einbinden oder alles auf dem IIS zu Regeln ?

    Über ein paar Tips oder Hinweise wäre ich Dankbar.

    Grüße Michael 

    Montag, 1. Oktober 2012 11:46

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    am besten erstellst Du eine sichere Webserververoeffentlichungsregel am TMG Server mit HTTPS zu HTTPS Bridging:
    http://technet.microsoft.com/en-us/library/cc995149.aspx
    Dann kannst Du am TMG Server ein entsprechendes Zertifikat fuer den Listener verwenden welches auf den oeffentlichen Namen ausgestellt ist, den Clients aus dem Internet verwenden um auf den internen Server zuzugreifen.
    Der Listener am TMG braucht eine oeffentliche IP Adresse - Der Listener muss eindeutig sein. Da Du schon den Webserver per HTTP veroeffentlichst, solltest Du den gleichen listener nehmen koennen und nur um HTTPS zu erweitern

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert Mikel1961 Mittwoch, 3. Oktober 2012 14:32
    Montag, 1. Oktober 2012 12:09
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Du musst das Zertifikat mit privaten Schluessel dem TMG Server zur Verfuegung stellen (.PFX Extension). Wenn Du das zertifikat als am Apachen exportierst, musst Du das erst ín ein fuer Windows kompatibles Format wandeln. Das geht zum Bsp. mit CLI Tools von OpenSSL oder ueber eine Webseite wie:
    https://www.sslshopper.com/ssl-converter.html

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert Mikel1961 Mittwoch, 3. Oktober 2012 14:32
    Mittwoch, 3. Oktober 2012 13:17

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    am besten erstellst Du eine sichere Webserververoeffentlichungsregel am TMG Server mit HTTPS zu HTTPS Bridging:
    http://technet.microsoft.com/en-us/library/cc995149.aspx
    Dann kannst Du am TMG Server ein entsprechendes Zertifikat fuer den Listener verwenden welches auf den oeffentlichen Namen ausgestellt ist, den Clients aus dem Internet verwenden um auf den internen Server zuzugreifen.
    Der Listener am TMG braucht eine oeffentliche IP Adresse - Der Listener muss eindeutig sein. Da Du schon den Webserver per HTTP veroeffentlichst, solltest Du den gleichen listener nehmen koennen und nur um HTTPS zu erweitern

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert Mikel1961 Mittwoch, 3. Oktober 2012 14:32
    Montag, 1. Oktober 2012 12:09
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Vielen Dank das hat mir schon mal geholfen zu Wissen in welche Richtung es geht.

    Jetzt scheitere ich allerdings das öffentliche Zertifikat (ein Multidomain Zertifikat das auch auf einem Linux Apache Server arbeitet und verschieden Subdomains einer Domain absichert ) auf den Forefront Server korrekt zu installieren.
    Es fehlt der Private Schlüssel, wie kann ich den privaten Schlüssel jetzt diesem Zertifikat zuordnen ?  

    Vielen Dank.
    Michael

    Mittwoch, 3. Oktober 2012 13:13
  • Question
    Anmelden
    1
    Anmelden

    Hi,

    Du musst das Zertifikat mit privaten Schluessel dem TMG Server zur Verfuegung stellen (.PFX Extension). Wenn Du das zertifikat als am Apachen exportierst, musst Du das erst ín ein fuer Windows kompatibles Format wandeln. Das geht zum Bsp. mit CLI Tools von OpenSSL oder ueber eine Webseite wie:
    https://www.sslshopper.com/ssl-converter.html

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert Mikel1961 Mittwoch, 3. Oktober 2012 14:32
    Mittwoch, 3. Oktober 2012 13:17
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Vielen Dank ! Das hat jetzt geklappt.
    Das einzige was mich gewundert hat, dass der Forefront dann für jede IP Adresse ein Zertifikat verlangt hat auf die er für diese Webserver Farm lauscht, obwohl hinter einer IP Adresse mehrere Webseiten liegen die keine Verschlüsselung benötigen, wäre es dann besser dafür eine extra Regel zu erstellen?

    Für alle die ebenfalls ein im Linux Apache eingebundenes Domainzertifikat umwandeln möchten, hier die Anweisung für openssl auf der Linux console:
    openssl pkcs12 -export -inkey name.key -out name.pfx < name.cert

    War mir lieber das über diesen Weg zu machen als über die angegebene Webseite.

    Grüße
    Michael


    • Bearbeitet Mikel1961 Mittwoch, 3. Oktober 2012 14:37
    Mittwoch, 3. Oktober 2012 14:32
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    du kannst natuerlich eine zusaetzliche Regel erstellen, aber durch das TMG HTTPS Bridging kann der TMG ja in die Anfrage schauen und entsprechend die Anfragen routen und ja, besser ist es mit Openssl, wer weiss was die SSLShopper mit den Daten machen :-)

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 3. Oktober 2012 17:19