locked
Configuration Certificat TSE 2008 RRS feed

  • Question

  • Bonjour,

    J'ai un problème avec la configuration du certificat en TSE. J'ai un réseau avec un serveur de certificat, un serveur TSE 2008 et ISA server 2004. j'ai généré un certificat sur mon serveur TSE que j'ai copié sur le magasin personnel d'ISA verver. l'accès en local à mon serveur TSE (RDP et Web) se passe bien, mais à distance, il  me genere un erreur  -500 interne d'ISA server depuis le navigateur et passerelle inaccessible depuis le bureau à distance. J'aimerai savoir quel peut être la cause du problème, sinon comment configurer proprement un certificat de sécurité TSE?

    Merci d'avance

    Cdt,

    Hugues
    • Déplacé swapnilpBanned mercredi 3 février 2010 22:46 Forum Consolidation (Origine :Windows Server 2008 ''Longhorn'')
    vendredi 28 août 2009 10:47

Réponses

  • Bonjour,
    Dans le principe, il faut :
    - générer un certificat pour la passerelle (basé sur le nom public - c'est obligatoire car sinon il y aura des erreurs ... Par exemple cela peut être : tsg.afib.fr)
    - exporter ce certificat avec sa clé vers le serveur ISA dans le certificat personnel de la machine.
    - Creer un port d'écoute https en selectionnant le bon certificat
    - paramétrer les remoteAPP ou les connexions afin d'utiliser la passerelle.

    Eric Perromat - MVP Terminal Server
    vendredi 28 août 2009 13:11
  • Bonsoir,

    A ce moment là, il te faudrait 2 IP publics, sur 2 connexions différentes ...


    Eric Perromat - MVP Terminal Server
    lundi 31 août 2009 18:45
  • Bonsoir,

    le problème à la base, est que tu ne pourras pas configurer le protocole entrant HTTPS (443) avec 2 certificats différents.

    Si la configuration a déjà été faite pour OWA de Exchange, il te faut une autre adresse IP publique et un autre nom DNS sur lequel sera basé le nouveau certificat.

    A+
    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT, MCTS OCS2007. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    jeudi 10 septembre 2009 19:57

Toutes les réponses

  • Bonjour,
    Dans le principe, il faut :
    - générer un certificat pour la passerelle (basé sur le nom public - c'est obligatoire car sinon il y aura des erreurs ... Par exemple cela peut être : tsg.afib.fr)
    - exporter ce certificat avec sa clé vers le serveur ISA dans le certificat personnel de la machine.
    - Creer un port d'écoute https en selectionnant le bon certificat
    - paramétrer les remoteAPP ou les connexions afin d'utiliser la passerelle.

    Eric Perromat - MVP Terminal Server
    vendredi 28 août 2009 13:11
  • merci pour ta réponse,
    j'ai effectivement configuré la passerelle, généré le certificat et configuré remoteApp.
    mais seulement le port d'écoute est déja configurer avec le certificat Root du domaine et Isa réfuse d'en utiliser une autre signalant qu'il n'est pas possible de creer un port d'écoute qui utilise la meme configuration qu'une autre regle de publication.
     est ce que l'utilisation du certificat du domaine avec le port d'écoute au lieu de celui générer par la passerelle peut poser probleme?


    Cdt,

    Hugues
    vendredi 28 août 2009 13:38
  • Tu peux supprimer le port d'écoute afin d'en recreer un avec le bon certificat ...

    Eric Perromat - MVP Terminal Server
    vendredi 28 août 2009 18:29
  • Bjr
     
     je ne peux malheureusement pas supprimer ce port d'écoute parce qu'il est utilisé par d'autres applications publiées telles que OWA, activesync d'exchange Server 2007.

    je chercherai une autre alternative.
    lundi 31 août 2009 14:35
  • Bonsoir,

    A ce moment là, il te faudrait 2 IP publics, sur 2 connexions différentes ...


    Eric Perromat - MVP Terminal Server
    lundi 31 août 2009 18:45
  • Bonsoir, j'ai trouvé où était mon erreur au moment de la génération du certificat. J'aimerai savoir s'il est possible de définir de CAP et RAP différents selon le profil des utilisateurs, ou on a droit qu'à un seul profil CAP et RAP. 

    Cdt, 

    HUgues 
    jeudi 3 septembre 2009 20:11
  • Bonjour,
    Je ne comprends pas trop ta question car les CAP et les RAP sont liés à la passerelle et pas aux utilisateurs ... Que souhaite tu faire (en donnant un exemple si possible) ?


    Eric Perromat - MVP Terminal Server
    vendredi 4 septembre 2009 06:52
  • Bonjour,

    Je souhaite créer un profil de connexion pour differents utilisateurs depuis l'exterieur du réseau d'entreprise, un donnant juste accès à l'environnement de travail et un autre donnant accès aux périphériques réseaux. Dans notre environnement de travail, nous ne souhaitons pas laisser les simples utilisateurs accéder aux ressources réseaux (disques et lecteurs partagés. A certains utilisateurs un accès plus large sur le réseau. Etant donné que les CAP et RAP permettent de configurer les politiques de connexion sur le reseau depuis l'exterieur, j'aimerai sortir s'il est possible de créer plusieurs profils différents à ce niveau, sinon par quel autre méthode peut-on le faire?


    Cdt,

    Hugues
    mercredi 9 septembre 2009 21:49
  • Bonsoir,

    le problème à la base, est que tu ne pourras pas configurer le protocole entrant HTTPS (443) avec 2 certificats différents.

    Si la configuration a déjà été faite pour OWA de Exchange, il te faut une autre adresse IP publique et un autre nom DNS sur lequel sera basé le nouveau certificat.

    A+
    Thierry DEMAN. MCSE+MSI, MCDBA, MCITP SQL2K5,SQL2K8,EXCH2K7,W2K8 ADM&ENT, MCTS OCS2007. Exchange MVP (http://www.faqexchange.info) LE PERMIS INFORMATIQUE.
    jeudi 10 septembre 2009 19:57