Publication d'un site Web unique ou d'un programme d'équilibrage de la charge sur HTTPS

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Publication d'un site Web unique ou d'un programme d'équilibrage de charge sur HTTPS

1. Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.

2. Dans le volet des tâches, cliquez sur l'onglet Boîte à outils.

3. Sous l'onglet Boîte à outils, cliquez sur Objets réseau, sur Nouveau, puis sélectionnez Port d'écoute Web pour ouvrir l'Assistant Nouveau port d'écoute Web.

4. Suivez les étapes de l'Assistant Nouveau port d'écoute Web, tel qu'indiqué dans le tableau suivant.

   Page	Champ ou propriété			Paramètre ou action
   Assistant Nouveau port d'écoute Web	Nom du port d'écoute Web			Tapez un nom pour le port d'écoute Web. Par exemple, tapez Port d'écoute du site Web HTTPS.
   Sécurité de la connexion des clients				Sélectionnez Requiert des connexions sécurisées SSL avec des clients.
   Adresses IP du port d'écoute Web	Écouter les demandes Web entrantes sur ces réseaux			Sélectionnez le réseau Externe. Cliquez sur Sélectionner les adresses IP, puis sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur Forefront TMG qui sont dans le réseau sélectionné. Sous Adresses IP disponibles, sélectionnez l'adresse IP du site Web, cliquez sur Ajouter, puis sur OK. </p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Certificats SSL de port d'écoute</strong> </p> </td> <td colspan="1"> <p /> <p> </p> </td> <td colspan="2"> <p>Sélectionnez <strong>Utiliser un certificat unique pour ce port d'écoute Web</strong>, cliquez sur <strong>Sélectionner un certificat</strong>, puis sélectionnez un certificat pour lequel le nom d'hôte dont se servent les utilisateurs pour accéder au site Web publié apparaît dans le champ <strong>Émis pour</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Paramètres d'authentification</strong> </p> </td> <td colspan="1"> <p> <strong>Sélectionner la manière dont les clients fournissent des informations d'identification à Forefront TMG</strong> </p> </td> <td colspan="2"> <p>Pour l'authentification HTTP (option par défaut), activez une ou plusieurs cases à cocher. Dans le déploiement d'un groupe de travail, vous pouvez uniquement sélectionner <strong>De base</strong>.</p> <p>Si vous voulez obliger les clients à fournir un certificat, dans la liste déroulante, sélectionnez <strong>Authentification des certificats de client SSL</strong>. </p> <p>Pour l'authentification par formulaires, dans la liste déroulante, sélectionnez <strong>Authentification des formulaires HTML</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Collecter des informations d'identification de délégation supplémentaires dans le formulaire</strong> </p> <p>Cette case à cocher apparaît uniquement lorsque l'option <strong>Authentification par formulaire HTML</strong> est sélectionnée.</p> </td> <td colspan="2"> <p>Activez cette case à cocher uniquement si vous souhaitez sélectionner <strong>Mot de passe à usage unique d'authentification pour serveur RADIUS</strong> ou <strong>SecurID</strong>.</p> </td> </tr> <tr> <td colspan="2"> <p /> </td> <td colspan="1"> <p> <strong>Sélectionner le mode de validation par Forefront TMG des informations d'identification des clients</strong> </p> </td> <td colspan="2"> <p>Pour l'authentification HTTP, si vous avez sélectionné l'authentification de base dans le déploiement d'un groupe de travail, vous pouvez sélectionner <strong>LDAP (Active Directory)</strong> ou <strong>RADIUS</strong>.</p> <p>Pour l'authentification par formulaires, sélectionnez l'une des options disponibles.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Paramètres</strong> <strong>d'authentification unique (SSO)</strong> </p> </td> <td colspan="1"> <p> <strong>Activer SSO pour les sites Web publiés à l'aide de ce port d'écoute</strong> </p> </td> <td colspan="2"> <p>L'authentification unique (SSO) n'est disponible que lorsque l'authentification par formulaires est utilisée. Si vous activez l'authentification unique, vous devez cliquer sur <strong>Ajouter</strong> et spécifier un domaine dans lequel l'authentification unique sera appliquée.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Fin de l'Assistant Nouveau port d'écoute Web</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>Vérifiez les paramètres, puis cliquez sur <strong>Terminer</strong>.</p> </td> </tr> </table> Dans le volet des tâches, cliquez sur l'onglet Tâches. Sous l'onglet Tâches, cliquez sur Publier des sites Web pour ouvrir l'Assistant Nouvelle règle de publication Web. Exécutez l'Assistant Nouvelle règle de publication Web comme indiqué dans le tableau suivant. Page Champ ou propriété Paramètre ou action Assistant Nouvelle règle de publication Web Nom de la règle de publication Web Tapez un nom pour la règle de publication Web. Par exemple, tapez Site Web unique (HTTPS). Sélectionnez l'action de la règle Action Sélectionnez Autoriser. Type de publication Sélectionnez Publier un seul site Web ou un équilibrage de charge. Sécurité de la connexion des serveurs Sélectionnez Utiliser le protocole SSL pour se connecter au serveur Web publié ou à la batterie de serveurs. Détails de publication internes (1) Nom de site local Tapez le nom d'hôte qui sera utilisé par Forefront TMG dans les messages de requête HTTP envoyés au serveur publié. Si vous publiez un seul serveur Web et que le nom de site local spécifié dans ce champ ne peut pas être résolu et n'est ni le nom de l'ordinateur ni l'adresse IP du serveur publié, sélectionnez Utiliser un nom ou une adresse IP d'ordinateur pour se connecter au serveur publié, puis tapez le nom d'ordinateur pouvant être résolu ou l'adresse IP du serveur publié. Détails de publication internes (2) Chemin (facultatif) Tapez le chemin de votre site Web. Transmettre l'en-tête de l'hôte d'origine plutôt que l'en-tête réel spécifié dans le champ Nom de site local dans la page précédente Activez cette case à cocher uniquement si votre site Web comporte des fonctionnalités spécifiques requérant l'en-tête de l'hôte d'origine reçu du client par Forefront TMG. Informations sur le nom public Accepter les demandes pour Sélectionnez Ce nom de domaine (saisissez ci-dessous). Nom public Entrez le nom de domaine complet public ou l'adresse IP que les utilisateurs externes utiliseront pour accéder au site Web publié. Sélectionnez le port d'écoute Web Port d'écoute Web Dans la liste déroulante, sélectionnez le port d'écoute Web créé à l'étape 4. Vous pouvez ensuite cliquer sur Modifier pour modifier les propriétés du port d'écoute Web sélectionné. Délégation d'authentification Sélectionnez la méthode utilisée par Forefront TMG pour authentifier le serveur Web publié Sélectionnez Pas de délégation, mais le client peut s'authentifier directement. Ensembles d'utilisateurs Cette règle s'applique aux demandes émanant des ensembles d'utilisateurs suivants Ne modifiez pas l'option par défaut Tous les utilisateurs authentifiés. Fin de l'Assistant Nouvelle règle de publication Web Vérifiez les paramètres, puis cliquez sur Terminer. Dans le volet d'informations, cliquez sur Appliquer, puis sur OK. Remarque : Lors de la publication sur SSL, le certificat de serveur SSL émis pour le nom d'hôte public du site Web publié doit être installé dans le magasin personnel de l'ordinateur local sur chaque ordinateur Forefront TMG du groupe. Si la règle de publication Web requiert une connexion SSL entre l'ordinateur Forefront TMG et le serveur publié, le certificat de serveur SSL émis pour le nom d'hôte spécifié comme nom de site local doit être installé sur le serveur publié. Pour plus d'informations sur l'obtention et l'installation de certificats de serveur SSL, consultez Configuration de certificats de serveur pour la publication Web sécurisée. Forefront TMG traite les batteries de serveurs figurant derrière un programme d'équilibrage de charge comme un serveur unique. Bien que cette option soit prise en charge pour la publication d'une batterie à charge équilibrée, il est recommandé d'utiliser la prise en charge d'équilibrage de charge intégrée fournie par une batterie de serveurs créée dans Forefront TMG plutôt qu'un programme d'équilibrage de charge. La publication Forefront TMG pour les batteries de serveurs offre une affinité client optimisée, qui peut être configurée pour fonctionner à l'aide d'un cookie, plutôt que de dépendre de l'adresse IP du client. Il s'agit d'un avantage supplémentaire quand un périphérique (par exemple, NAT), entre le programme d'équilibrage de charge et Forefront TMG, masque l'adresse IP du client. Vous pouvez configurer le mode de transmission des informations d'identification au serveur publié dans une règle de publication Web. Les règles de publication Web établissent les correspondances entre les demandes des clients entrantes et le site Web approprié sur le serveur Web.  Vous pouvez créer des règles de publication Web qui refuse le trafic, pour bloquer le trafic entrant qui correspond aux conditions des règles. Forefront TMG traite les chemins d'accès comme respectant la casse. Si votre serveur Web contient dossiera et dossierA, et que vous publiez un chemin vers l'un des dossiers, les deux dossiers seront publiés. Pour plus d'informations sur les paramètres dans les règles de publication Web, consultez Planification de la publication. Rubriques connexes Concepts Publication de serveurs Web sur HTTPS