none
TSゲートウェイへのリバースプロキシについて RRS feed

  • 質問

  • TSゲートウェイの導入について、検証作業を行っています。
    DMZではなく、ファイアウォールの内側にTSゲートウェイを設置したいと考え、リバースプロキシを設置しました。

    このときのリバースプロキシの考え方について伺いたいのですが、
    このリバースプロキシ上では、証明書の検証を行うことができるものを利用することが望ましいのでしょうか。

    LAN内のWebサーバへアクセスさせるなら、その必要があると思っていましたが、TSゲートウェイではTSゲートウェイ上で証明書の検証が行われるためリバースプロキシ上での証明書の検証は不要であると理解してよろしいのでしょうか。

    中途半端な理解で恐縮なのですが、よろしくお願いいたします。
    2010年3月5日 1:39

回答

  • チャブーンです。

    サードパーティのプロキシサーバで確認はしていませんが、したの資料から MS の ISA Server であれば、「SSL 証明書がルート証明書により信頼されている」ことが検証可能であることは、必要なのではないでしょうか?

    Configuring the TS Gateway ISA Server Scenario

    ISA Server 2006 を使用して TS ゲートウェイのセキュリティを強化する

    追記:
    やはり、意味を取り違えていましたね。ISA Server 上では、リバースプロキシとしてはクライアントと SSL セッション自体は直接確立させ、そのあと、自分自身が SSL クライアントとして TS ゲートウェイと通信する、という図式のようなので、(SSLセッションを確立させる意味での)証明書の検証は必要になるのではないか、という風にうえの資料からは見えますけれど。

    2010年3月7日 14:00
    モデレータ

すべての返信

  • http://www.ctc-g.co.jp/MungoBlobs/544/254/NAP_StepByStep_TSGateway.pdf

    うえのPDFを見る限りでは、

    証明書の検証は、TS GatewayNAPS上で行われる為

    リバースプロキシ上での証明書の検証とは関係ありません。



    訂正

     

    公式ページやその他資料を検索しました。MSの証明機関を使用するなら、証明機関のインストールも必要なようです。

    http://technet.microsoft.com/ja-jp/library/cc731264(WS.10).aspx

    http://www.aquanet.co.jp/howto/knowhow/kh001/kh001-1.html

    http://itpro.nikkeibp.co.jp/article/COLUMN/20080304/295395/

     

    (一番したの日経IT Proの記事を抜粋すると)

    >TSゲートウエイは,TSクライアントからTSゲートウエイまでをHTTPSで接続し,TS

    >ゲートウエイからターミナル・サービスまでをRDPで接続する(1)。つまり,一種のプロキシである。

     

    TS GateWayサーバー自体が一種のプロキシとなるようです。その意味では間にサードパーティ製のリバースプロキシを設置する必要はないと思います。

     

    2010年3月6日 16:14
  • チャブーンです。

    サードパーティのプロキシサーバで確認はしていませんが、したの資料から MS の ISA Server であれば、「SSL 証明書がルート証明書により信頼されている」ことが検証可能であることは、必要なのではないでしょうか?

    Configuring the TS Gateway ISA Server Scenario

    ISA Server 2006 を使用して TS ゲートウェイのセキュリティを強化する

    追記:
    やはり、意味を取り違えていましたね。ISA Server 上では、リバースプロキシとしてはクライアントと SSL セッション自体は直接確立させ、そのあと、自分自身が SSL クライアントとして TS ゲートウェイと通信する、という図式のようなので、(SSLセッションを確立させる意味での)証明書の検証は必要になるのではないか、という風にうえの資料からは見えますけれど。

    2010年3月7日 14:00
    モデレータ
  • こんにちは、フォーラムオペレーターの三沢健二です。

    試験問題作成委員会 さん、チャブーン さん、いつもアドバイスありがとうございます。

    今回は チャブーン さんに案内いただいた内容が分かりやすかったのではないかと思いましたので、チャブーン さんの回答に [回答としてマーク] を付けさせていただきました。

    なお、試験問題作成委員会 さんに抜粋いただいた内容は、TS ゲートウェイを DMZ に配置された場合のシナリオではないかなと思われます。

    - 参考情報
    TS ゲートウェイの ISA Server シナリオを構成する
    http://technet.microsoft.com/ja-jp/library/cc731353(WS.10).aspx


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年3月25日 4:48
    モデレータ