Freigeben über

Veröffentlichen hinter einem SSL-Beschleuniger

  • Artikel

Veröffentlicht: November 2009

Letzte Aktualisierung: Februar 2010

Betrifft: Forefront Threat Management Gateway (TMG)

So veröffentlichen Sie hinter einem SSL-Beschleuniger

  1. Klicken Sie in der Konsolenstruktur der Forefront TMG-Verwaltung auf den Knoten Firewallrichtlinie.

  2. Klicken Sie im Bereich Aufgaben auf die Registerkarte Toolbox.

  3. Klicken Sie auf der Registerkarte Toolbox auf Netzwerkobjekte, klicken Sie anschließend auf Neu, und wählen Sie dann Weblistener aus, um den Assistenten für neue Weblistener zu öffnen.

  4. Führen Sie die Arbeitsschritte des Assistenten für neue Weblistener aus (siehe nachfolgende Tabelle).

    Seite Feld oder Eigenschaft Einstellung oder Aktion

    Willkommen

    Weblistenername

    Geben Sie einen Namen für den Weblistener ein. Geben Sie beispielsweise Folgendes ein: SSL-Beschleunigerlistener

    Sicherheit der Clientverbindung

    Aktivieren Sie die Option Keine sicheren SSL-Verbindungen mit Clients erforderlich.

    Weblistener-IP-Adressen

    In diesen Netzwerken auf eingehende Webanforderungen achten

    Wählen Sie das Netzwerk Extern aus. Klicken Sie auf IP-Adressen auswählen, und aktivieren Sie dann die Option Angegebene IP-Adressen auf dem Forefront TMG-Computer im ausgewählten Netzwerk. Wählen Sie in der Liste Verfügbare IP-Adressen die IP-Adresse aus, die Forefront TMG auf HTTP-Anforderungen vom SSL-Beschleuniger abhört, und klicken Sie auf Hinzufügen und anschließend auf OK.

              </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Authentifizierungseinstellungen</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Legen Sie fest, wie die Clients die Anmeldeinformationen an Forefront TMG übermitteln sollen</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Wählen Sie in der Dropdownliste die Option <strong>Keine Authentifizierung</strong> aus.</p>
          <p>

          </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Einstellungen für einmaliges Anmelden (SSO)</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>SSO für Websites aktivieren, die mit diesem Weblistener veröffentlicht werden</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Die einmalige Anmeldung ist in dieser Konfiguration nicht verfügbar.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Fertigstellen des Assistenten</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
        </td>
        <td colspan="2">
          <p>Überprüfen Sie die Einstellungen, und klicken Sie dann auf <strong>Fertig stellen</strong>.</p>
        </td>
      </tr>
    </table>

  5. Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Konfiguration zu speichern und zu aktualisieren, und klicken Sie dann auf OK.

  6. Um den Port festzulegen, an den Forefront TMG Antworten auf den SSL-Beschleuniger zurückgibt, kopieren Sie den folgenden Code in eine Editordatei, und speichern Sie diese als SetSslAcceleratorPort.vbs. Geben Sie anschließend für den Weblistener „SSL Accelerator Listener“ Folgendes an der Eingabeaufforderung ein:
    CScript SetSslAcceleratorPort.vbs "SSL Accelerator Listener".

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 
' Copyright (c) Microsoft Corporation. Alle Rechte vorbehalten. 
' DIESER CODE WIRD "WIE BESEHEN" UND OHNE GEWÄHRLEISTUNG JEGLICHER ART ZUR VERFÜGUNG GESTELLT. 
' DAS GESAMTE RISIKO DER VERWENDUNG ODER DER ERGEBNISSE DER 
' VERWENDUNG DIESES CODES LIEGT ALLEIN BEIM BENUTZER. DIE VERWENDUNG UND WEITERGABE DIESES CODES 
' MIT ODER OHNE ÄNDERUNGEN, IST HIERMIT GESTATTET. 
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 
Option Explicit 

' Define the constant needed 
const Error_FileNotFound = &H80070002 

Main(WScript.Arguments) 

Sub Main(args) 
    If(args.Count = 1) Then 
    SetSslAcceleratorPort args(0) 
    Else 
    Usage() 
    End If 
End Sub 

Sub SetSslAcceleratorPort(wlName) 

    ' Create the root object. 
    Dim root ' The FPCLib.FPC root object 
    Set root = CreateObject("FPC.Root") 

    ' Declare the other objects needed.     Dim tmgArray    ' An FPCArray object 
    Dim webListener ' An FPCWebListener object 
    Dim text    ' A String 
    Dim input   ' A String 

    ' Get a reference to the local array object. 
    Set tmgArray = root.GetContainingArray() 

    ' Get a reference to the Web listener specified. 
    On Error Resume Next 
    Set webListener = _ 
    tmgArray.RuleElements.WebListeners.Item (wlName) 
    If Err.Number = Error_FileNotFound Then 
    WScript.Echo _ 
        "Der angegebene Weblistener konnte nicht gefunden werden." 
    Else 
    Err.Clear 
    On Error GoTo 0 
    With webListener.Properties 
        If .SSLAcceleratorPort = 0 Then 
        text = "Es wurde kein SSL-Beschleuniger-Port konfiguriert." _ 
               & VbCrLf _ 
               & "Geben Sie einen Wert ein, der ungleich Null ist, um" _ 
               & VbCrLf _ 
               & "einen SSL-Beschleuniger-Port zu aktivieren." 
        Else 
        text = "Aktueller SSL-Beschleuniger-Port: " _ 
               & .SSLAcceleratorPort _                  & VbCrLf _ 
               & "Sie können diesen Wert ändern oder 0 eingeben," _ 
               & VbCrLf _ 
               & "um den SSL-Beschleuniger-Port zu deaktivieren." 
        End If 
        input = InputBox (text,"SSL Accelerator Port", "443") 
    End With 
    If CInt(input) <> _ 
        webListener.Properties.SSLAcceleratorPort Then 
        WScript.Echo "SSL-Beschleuniger-Port wird geändert zu " _ 
        & CInt(input) & "..." 
        webListener.Properties.SSLAcceleratorPort = CInt(input) 
    End If 
    If webListener.Properties.SSLAcceleratorPort <> 0 Then 
        WScript.Echo "Sicherstellen, dass SSL-Port auf 0 festgelegt ist..." 
        webListener.Properties.SSLPort = 0 
    End If 
    webListener.Save 
    End If 
End Sub 

Sub Usage() 
    WScript.Echo "Verwendung:" & VbCrLf _ 
    & " CScript " & WScript.ScriptName & " WebListener" _ 
    & VbCrLf & "" & VbCrLf _ 
    & " WebListener – Name des Weblisteners"    
    WScript.Quit 
End Sub

    7. Hinweis

    • Wenn Forefront TMG ein externes SSL-Beschleunigergerät vorgeschaltet ist, wird der gesamte Webdatenverkehr vom Gerät abgefangen und dann an Forefront TMG übergeben. Wenn das Gerät HTTPS-Datenverkehr von einem Client empfängt, beendet es die SSL-Verbindung am Gerät, entschlüsselt den Datenverkehr und übergibt diesen dann als HTTP an Forefront TMG, bei dem der Datenverkehr in der Regel an Port 80 empfangen wird. Bei diesem Verfahren wird Forefront TMG so konfiguriert, dass es den SSL-Beschleuniger zwischen ihm und dem Internet erkennt. Bei diesem Verfahren wird Forefront TMG zudem so konfiguriert, dass Antworten an den richtigen Port des SSL-Beschleunigers gesendet und HTTPS-Links in der vom SSL-Beschleuniger zurückgegebenen Antwort bereitgestellt werden.

    • In dem spezifischen Fall, bei dem es sich bei der vom Client stammenden HTTPS-Anforderung um eine Microsoft Outlook Web Access-Anforderung handelt, hängt Forefront TMG automatisch einen Header an, der dem Outlook Web Access-Server anzeigt, dass eine HTTPS-Antwort zurückgegeben werden soll. Dies erfolgt unabhängig davon, ob Forefront TMG für die Verwendung hinter dem SSL-Beschleuniger konfiguriert wurde.

    • Dieses Verfahren gilt nur für einen externen SSL-Beschleuniger, der mit dem Internet verbunden und dem Forefront TMG-Computer vorgeschaltet ist, der mit ihm über eine Netzwerkverbindung kommuniziert. Wenn Sie über eine SSL-Beschleunigerkarte, die direkt auf dem Forefront TMG-Computer installiert ist, oder ein externes Gerät verfügen, das mit dem Forefront TMG-Computer über eine SCSI (Small Computer System Interface)-Schnittstelle verbunden ist, sind keine Konfigurationsänderungen in Forefront TMG erforderlich.

    • Der Weblistener muss auf HTTP-Anforderungen für eine separate IP-Adresse achten, die kein anderer Weblistener auf HTTP-Anforderungen abhört. Dies erfordert entweder eine zusätzliche IP-Adresse für den Netzwerkadapter, der mit dem externen Netzwerk verbunden ist oder einen separaten Netzwerkadapter, der für den SSL-Beschleuniger bestimmt ist. Wenn Sie einen separaten Netzwerkadapter verwenden, müssen Sie ein neues Netzwerk definieren, das den SSL-Beschleuniger enthält und den Weblistener so konfigurieren, dass dieses Netzwerk abgehört wird.

    • Wenn der SSL-Beschleuniger mit dem Internet verbunden ist, muss der Name seines SSL-Serverzertifikats mit dem öffentlichen Hostnamen oder der IP-Adresse übereinstimmen, die externe Clients in ihren Webbrowser eingeben, um auf die veröffentlichte Website zuzugreifen.

    • Der Port, an den Forefront TMG Antworten an ein externes SSL-Beschleunigergerät zurückgibt, das Forefront TMG vorgeschaltet ist, kann nicht in der Forefront TMG-Verwaltung festgelegt werden. Das bereitgestellte Skript stellt außerdem sicher, dass die HTTPS-Überwachung für den Weblistener deaktiviert ist.

    Verwandte Themen

    Konzepte

    Veröffentlichen von Webservern über HTTPS