Publicar tras un acelerador SSL
Publicada: noviembre de 2009
Se aplica a: Forefront Threat Management Gateway (TMG)
Para publicar tras un acelerador SSL
En el árbol de la consola de administración de Forefront TMG, haga clic en el nodo Directiva de firewall.
En el panel Tareas, haga clic en la ficha Herramientas.
En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después seleccione Escucha de web para abrir el Asistente para nueva escucha de web.
En la siguiente tabla se indica cómo completar el Asistente para nueva escucha de web.
Página Campo o propiedad Valor o acción Bienvenido al Asistente para nueva escucha de web
Nombre de la escucha de web
Escriba un nombre para la escucha de web. Por ejemplo, escriba: Escucha de acelerador SSL
Seguridad de conexión de cliente
Seleccione No requerir conexiones seguras SSL con los clientes.
Direcciones IP de escuchas de web
Escuchar solicitudes web entrantes en estas redes
Seleccione la red Externa. Haga clic en Seleccionar direcciones IP y, a continuación, seleccione Direcciones IP especificadas en el equipo Forefront TMG en la red seleccionada. En la lista Direcciones IP disponibles, seleccione la dirección IP en la que Forefront TMG escuchará las solicitudes HTTP del acelerador SSL, haga clic en Agregar y, a continuación, haga clic en Aceptar.
</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Valores de autenticación</strong> </p> </td> <td colspan="1"> <p> <strong>Seleccione la forma en que los clientes facilitarán sus credenciales a Forefront TMG.</strong> </p> </td> <td colspan="2"> <p>En la lista desplegable, seleccione <strong>Sin autenticación</strong>.</p> <p> </p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Configuración de inicio de sesión único</strong> </p> </td> <td colspan="1"> <p> <strong>Habilitar SSO para sitios web publicados con esta escucha</strong> </p> </td> <td colspan="2"> <p>El inicio de sesión único no está disponible en esta configuración.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Finalización del Asistente para nueva escucha de web</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>Revise la configuración y haga clic en <strong>Finalizar</strong>.</p> </td> </tr> </table>En el panel de detalles, haga clic en el botón Aplicar para guardar y actualizar la configuración, y luego en Aceptar.
Para establecer el puerto al que Forefront TMG devolverá las respuestas al acelerador SSL, copie el siguiente código en un archivo del Bloc de notas y guárdelo como SetSslAcceleratorPort.vbs. A continuación, para un escucha de web denominado Escucha de acelerador SSL, en el símbolo del sistema, escriba:
CScript SetSslAcceleratorPort.vbs "Escucha de acelerador SSL"''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ' Copyright (c) de Microsoft Corporation. Reservados todos los derechos. ' ESTE CÓDIGO ESTÁ DISPONIBLE TAL CUAL, SIN GARANTÍA DE NINGÚN TIPO. ' TODO RIESGO DERIVADO DEL USO DE ESTE CÓDIGO O EL RESULTADO DE SU USO ES RESPONSABILIDAD DEL USUARIO. ' POR LA PRESENTE, SE PERMITE EL USO Y LA REDISTRIBUCIÓN DE ESTE CÓDIGO, CON O SIN MODIFICACIÓN. ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Option Explicit ' Define the constant needed const Error_FileNotFound = &H80070002 Main(WScript.Arguments) Sub Main(args) If(args.Count = 1) Then SetSslAcceleratorPort args(0) Else Usage() End If End Sub Sub SetSslAcceleratorPort(wlName) ' Create the root object. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") ' Declare the other objects needed. Dim tmgArray ' An FPCArray object Dim webListener ' An FPCWebListener object Dim text ' A String Dim input ' A String ' Get a reference to the local array object. Set tmgArray = root.GetContainingArray() ' Get a reference to the Web listener specified. On Error Resume Next Set webListener = _ tmgArray.RuleElements.WebListeners.Item(wlName) If Err.Number = Error_FileNotFound Then WScript.Echo _ "No se pudo encontrar la escucha web especificada." Else Err.Clear On Error GoTo 0 With webListener.Properties If .SSLAcceleratorPort = 0 Then text = "No hay configurado ningún puerto de acelerador SSL." _ & VbCrLf _ & "Puede especificar un valor distinto de cero para habilitar" _ & VbCrLf _ & "un puerto de acelerador SSL." Else text = "Puerto de acelerador SSL actual: " _ & .SSLAcceleratorPort _ & VbCrLf _ & "Puede cambiar este valor o escribir 0" _ & VbCrLf _ & "para deshabilitar el puerto de acelerador SSL." End If input = InputBox(text,"Puerto de acelerador SSL", "443") End With If CInt(input) <> _ webListener.Properties.SSLAcceleratorPort Then WScript.Echo "Cambiando el puerto de acelerador SSL a " _ & CInt(input) & "..." webListener.Properties.SSLAcceleratorPort = CInt(input) End If If webListener.Properties.SSLAcceleratorPort <> 0 Then WScript.Echo "Comprobando que el puerto SSL está definido en 0..." webListener.Properties.SSLPort = 0 End If webListener.Save End If End Sub Sub Usage() WScript.Echo "Usage:" & VbCrLf _ & " CScript " & WScript.ScriptName & " WebListener" _ & VbCrLf & "" & VbCrLf _ & " WebListener - Nombre de la escucha web" WScript.Quit End SubNota
- Si dispone de un dispositivo acelerador SSL externo delante de Forefront TMG, el dispositivo intercepta todo el tráfico web y, a continuación, se transmite a Forefront TMG. Cuando el dispositivo recibe tráfico HTTPS de un cliente, finaliza la conexión SSL en el dispositivo, descifra el tráfico y, a continuación, lo trasmite como HTTP a Forefront TMG, que normalmente recibe el tráfico en el puerto 80. Este procedimiento configura Forefront TMG para que reconozca que hay un acelerador SSL entre él e Internet. Este procedimiento también configura Forefront TMG para enviar respuestas al puerto correcto del acelerador SSL y para proporcionar vínculos HTTPS en la respuesta que devolverá el acelerador SSL.
- En el caso concreto de que la solicitud HTTPS originada en el cliente sea una solicitud de Microsoft Outlook Web Access, Forefront TMG anexa automáticamente un encabezado que indica al servidor de acceso web de Outlook que debe devolver una respuesta HTTPS. Esto tiene lugar independientemente de que Forefront TMG se haya configurado para que funcione tras el acelerador SSL.
- Este procedimiento se puede aplicar únicamente en un acelerador SSL externo conectado a Internet que se encuentre delante del equipo Forefront TMG, que comunica con él a través de una conexión de red. Si dispone de una tarjeta aceleradora SSL instalada directamente en el equipo Forefront TMG o de un dispositivo externo conectado al equipo Forefront TMG con una interfaz estándar de equipos pequeños (SCSI), no son necesarios cambios de configuración en Forefront TMG.
- La escucha de web debe escuchar las solicitudes HTTP en una dirección IP independiente, en la que no exista ninguna otra escucha de web para solicitudes HTTP. Esto exige que haya una dirección IP adicional en el adaptador de red conectado a la red externa o un adaptador de red independiente dedicado al acelerador SSL. Si utiliza un adaptador de red independiente, deberá definir una nueva red que contenga el acelerador SSL y configurar la escucha de web para que actúe en esa red.
- Si el acelerador SSL está conectado a Internet, el nombre de su certificado de servidor SSL debe coincidir con el nombre de host público o con la dirección IP pública que los clientes externos escribirán en su explorador web para obtener acceso al sitio web publicado.
- El puerto al que Forefront TMG devuelve las respuestas a un dispositivo acelerador SSL externo delante de Forefront TMG no se puede definir en la Administración de Forefront TMG. El script proporcionado también garantiza que la escucha HTTPS esté deshabilitada en la escucha de web.
Temas relacionados
Conceptos