آموزش پابلیش کردن HTTPS Web Server در TMG Server 2010
اگر در سازمان خود از فایروال TMG استفاده می کنید احتمالا سرویس های دارید که قصد پابلیش کردن آن را داشته باشید مانند Web Server یا Mail Server. در بعضی از سازمانها Web Server های وجود دارند که برای رمزگذاری و احراز هویت از پروتکل TLS/SSL استفاده می کنند. در TMG ابزارها و ویزادی های وجود دارد که پروسه پابلیش کردن HTTPS را آسان و راحت کرده است.Publish کردن چیست؟ بیشتر اتصالهای سازمانها به اینترنت استفاده از تکنولوژی NAT می باشد. یکی از مزایاتهای NAT پنهان شدن پشت فایروال می باشد. در چنین سناریوهای اگر سازمانی بخواهد سرویسی را در معرض دید کاربران اینترنت قرار دهد باید آن را پابلیش کند و کاربران با استفاده از IP Public خود فایرول می توانند به آن سرویس دسترسی داشته باشند.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
- نکته: در تکنولوژی NAT شما می توانید بیش از یک سرور Publish کنید.
- نکته: نام دیگر Publish کردن سرویس ها reverse proxy می باشد.
برای اینکه یک وب سرور بتواند با TLS/SSL ارتباطات خود را رمزگذاری کند مجبور است از یک Certificate که از یک Commercial CA یا Private CA که در خود سازمان ایجاد شده درخواست Certificate دهد و این Certificate را بر روی وب سایت Bind کند. در این سناریو ما از یک Private CA درخواست Certificate می کنیم. برای شروع پیکربندی ما در وهله اول باید Certificate که بر روی وب سرور Bind شده همراه با کلید خصوصی آن Export و بر روی TMG ایمپورت کنیم.
در این سناریو همه سرورها و کلاینتها باید به Root CA سازمان اعتماد داشته باشند. بعد از آن باید یک Access Rule ایجاد کنیم که ارتباط https با TMG and Web Server آزاد باشد.
بعد از آن باید https web server را Publish کنیم. برای اینکار در قست Firewall Policy گذینه زیر را کلیک کنید:
چون فقط یک Web Server دارم گذینه بالا را انتخاب می کنم.
چون ارتباط ما بصورت رمزگذاری شده می باشد گذینه اول را انتخاب می کنیم.
در قسمت Internal site name نامی (FQDN) بنویسید که کاربران داخلی با استفاده از آن به وب سرور ما وصل می شوند. در کادر Computer name or IP Address ادرس وب سرور سازمان را وارد می کنیم. (ادرسی که در شبکه محلی به آن وصل می شویم)
در کادر بالا می توانیم مشخص کنیم که کاربران اینترنت به چه Virtual Directoryهای می توانند دسترسی داشته باشند؟ که در بالا مشخص کردیم به همه محتویات وب سرور.
در کادر بالا می توانیم مشخص کنیم کاربران اینترنت با چه نامهای می توانند به این وب سرور وصل شوند.
در بالا باید یک Web Listener برای این وب سایت ایجاد کنیم. کار Web Listener گوش دادن به داخواست کاربران و نحوه Authentication کردن آنها می باشد.
در بالا تنظیم کردیم که به درخواستهای https آمده از اینترنت گوش دهد.
به Certificate که در وب سرور Bind شده و بروی TMG نصب شده را انتخاب می کنیم.
کاربران می توانند بدون احراز هویت به وب سرور کانکت شوند.
About single sign-on
https://technet.microsoft.com/en-us/library/cc995112.aspx
تنظیمات web Listener را finish و Next میکنیم.
گذینه بالا را انتخاب و next و Finish.
الان از اینترنت به https web server وصل می شویم.
نکته: Client ها باید به CA سروری که Certificate به Web Server صادر کرده اعتماد داشته باشند.
اگر در TMG تست کنیم می بینم ارتباط بوسیله پروتکل https مجاز به عبور است.
منبع:
Publish secure (HTTPS) Web Site with TMG 2010
http://www.vkernel.ro/blog/publish-secure-https-web-site-with-tmg-2010
موفق و پیروز باشید.