احمد جهلولی
متخصص سرویس های مایکروسافت

آموزش پابلیش کردن HTTPS Web Server در TMG Server 2010

اگر در سازمان خود از فایروال TMG استفاده می کنید احتمالا سرویس های دارید که قصد پابلیش کردن آن را داشته باشید مانند Web Server یا Mail Server. در بعضی از سازمانها Web Server های وجود دارند که برای رمزگذاری و احراز هویت از پروتکل TLS/SSL استفاده می کنند. در TMG ابزارها و ویزادی های وجود دارد که پروسه پابلیش کردن HTTPS را آسان و راحت کرده است.Publish کردن چیست؟ بیشتر اتصالهای سازمانها به اینترنت استفاده از تکنولوژی NAT می باشد. یکی از مزایاتهای NAT پنهان شدن پشت فایروال می باشد. در چنین سناریوهای اگر سازمانی بخواهد سرویسی را در معرض دید کاربران اینترنت قرار دهد باید آن را پابلیش کند و کاربران با استفاده از IP Public خود فایرول می توانند به آن سرویس دسترسی داشته باشند.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  • نکته: در تکنولوژی NAT شما می توانید بیش از یک سرور Publish کنید.
  • نکته: نام دیگر Publish کردن سرویس ها reverse proxy می باشد.

برای اینکه یک وب سرور بتواند با TLS/SSL ارتباطات خود را رمزگذاری کند مجبور است از یک Certificate که از یک Commercial CA یا Private CA که در خود سازمان ایجاد شده درخواست Certificate دهد و این Certificate را بر روی وب سایت Bind کند. در این سناریو ما از یک Private CA درخواست Certificate می کنیم. برای شروع پیکربندی ما در وهله اول باید Certificate که بر روی وب سرور Bind شده همراه با کلید خصوصی آن Export و بر روی TMG ایمپورت کنیم.

وب سایت توسینسو

در این سناریو همه سرورها و کلاینتها باید به Root CA سازمان اعتماد داشته باشند. بعد از آن باید یک Access Rule ایجاد کنیم که ارتباط https با TMG and Web Server آزاد باشد.

وب سایت توسینسو

بعد از آن باید https web server را Publish کنیم. برای اینکار در قست Firewall Policy گذینه زیر را کلیک کنید:

وب سایت توسینسو
وب سایت توسینسو
وب سایت توسینسو

چون فقط یک Web Server دارم گذینه بالا را انتخاب می کنم.

وب سایت توسینسو

چون ارتباط ما بصورت رمزگذاری شده می باشد گذینه اول را انتخاب می کنیم.

وب سایت توسینسو

در قسمت Internal site name نامی (FQDN) بنویسید که کاربران داخلی با استفاده از آن به وب سرور ما وصل می شوند. در کادر Computer name or IP Address ادرس وب سرور سازمان را وارد می کنیم. (ادرسی که در شبکه محلی به آن وصل می شویم)

وب سایت توسینسو

در کادر بالا می توانیم مشخص کنیم که کاربران اینترنت به چه Virtual Directoryهای می توانند دسترسی داشته باشند؟ که در بالا مشخص کردیم به همه محتویات وب سرور.

وب سایت توسینسو

در کادر بالا می توانیم مشخص کنیم کاربران اینترنت با چه نامهای می توانند به این وب سرور وصل شوند.

وب سایت توسینسو

در بالا باید یک Web Listener برای این وب سایت ایجاد کنیم. کار Web Listener گوش دادن به داخواست کاربران و نحوه Authentication کردن آنها می باشد.

وب سایت توسینسو

در بالا تنظیم کردیم که به درخواستهای https آمده از اینترنت گوش دهد.

وب سایت توسینسو

به Certificate که در وب سرور Bind شده و بروی TMG نصب شده را انتخاب می کنیم.

وب سایت توسینسو

کاربران می توانند بدون احراز هویت به وب سرور کانکت شوند.

وب سایت توسینسو

About single sign-on

https://technet.microsoft.com/en-us/library/cc995112.aspx

تنظیمات web Listener را finish و Next میکنیم.

وب سایت توسینسو

گذینه بالا را انتخاب و next و Finish.

الان از اینترنت به https web server وصل می شویم.

نکته: Client ها باید به CA سروری که Certificate به Web Server صادر کرده اعتماد داشته باشند.

وب سایت توسینسو

اگر در TMG تست کنیم می بینم ارتباط بوسیله پروتکل https مجاز به عبور است.

وب سایت توسینسو

منبع:

Publish secure (HTTPS) Web Site with TMG 2010

http://www.vkernel.ro/blog/publish-secure-https-web-site-with-tmg-2010

موفق و پیروز باشید.


احمد جهلولی
احمد جهلولی

متخصص سرویس های مایکروسافت

سایت شخصی من: https://msdeeplearn.net

نظرات