Partager via

Publication d'une batterie de serveurs sur HTTPS

  • Article

Publication: novembre 2009

Mis à jour: février 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Pour publier une batterie de serveurs sur HTTPS

  1. Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.

  2. Dans le volet des tâches, cliquez sur l'onglet Boîte à outils.

  3. Sous l'onglet Boîte à outils, cliquez sur Objets réseau, sur Nouveau, puis sélectionnez Batterie de serveurs.

  4. Effectuez les étapes de l'Assistant Nouvelle batterie de serveurs comme indiqué dans le tableau suivant.

    Page Champ ou propriété Paramètre ou action

    Assistant Nouvelle batterie de serveurs

    Nom de la batterie de serveurs

    Entrez un nom pour la batterie de serveurs. Par exemple, tapez Batterie de serveurs de contenu.

    Serveurs

    Serveurs inclus dans cette batterie

    Pour chaque serveur Web que vous souhaitez inclure dans la batterie de serveurs, cliquez sur Ajouter. Dans Détails du serveur, cliquez sur Parcourir, puis dans Entrer le nom de l'objet à sélectionner, tapez le nom NetBIOS du serveur Web. Cliquez sur Vérifier les noms, sur OK, puis de nouveau sur OK.

    Surveillance de la connectivité de la batterie de serveurs

    Méthode utilisée pour surveiller la connectivité de la batterie de serveurs

    Sélectionnez la méthode que Forefront TMG doit utiliser pour vérifier la connectivité des serveurs Web de la batterie de serveurs. Si vous sélectionnez Envoyer une demande GET HTTP/HTTPS et souhaitez spécifier une URL différente de celle qui sera définie dans la règle de publication Web pour cette batterie de serveurs ou si vous souhaitez spécifier un en-tête d'hôte personnalisé différent de celui qui sera envoyé selon la règle de publication Web, cliquez sur Configurer, tapez l'URL et l'en-tête d'hôte, puis cliquez sur OK.

    Fin de l'Assistant Nouvelle batterie de serveurs

    Vérifiez les paramètres, puis cliquez sur Terminer.

  5. Si une boîte de message apparaît indiquant que la règle de stratégie système Autoriser les demandes HTTP/HTTPS depuis Forefront TMG vers les serveurs sélectionnés pour les vérificateurs de connectivité sera activée, cliquez sur OK.

  6. Sous l'onglet Boîte à outils, cliquez sur Objets réseau et sur Nouveau, puis sélectionnez Port d'écoute Web pour ouvrir l'Assistant Nouveau port d'écoute Web.

  7. Suivez les étapes de l'Assistant Nouveau port d'écoute Web, tel qu'indiqué dans le tableau suivant.

    Page Champ ou propriété Paramètre ou action

    Assistant Nouveau port d'écoute Web

    Nom du port d'écoute Web

    Tapez un nom pour le port d'écoute Web. Par exemple, tapez Port d'écoute Batterie de serveurs HTTPS.

    Sécurité de la connexion des clients

    Sélectionnez Requiert des connexions sécurisées SSL avec des clients.

    Adresses IP du port d'écoute Web

    Écouter les demandes Web entrantes sur ces réseaux

    Sélectionnez le réseau Externe. Cliquez sur Sélectionner les adresses IP, puis sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur Forefront TMG qui sont dans le réseau sélectionné. Sous Adresses IP disponibles, sélectionnez l'adresse IP appropriée, cliquez sur Ajouter, puis sur OK.

              </p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Certificats SSL de port d'écoute</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
          <p>

          </p>
        </td>
        <td colspan="2">
          <p>Sélectionnez <strong>Utiliser un certificat unique pour ce port d'écoute Web</strong>, cliquez sur <strong>Sélectionner un certificat</strong>, puis sélectionnez un certificat pour lequel le nom d'hôte dont se servent les utilisateurs pour accéder au site Web publié apparaît dans le champ <strong>Émis pour</strong>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Paramètres d'authentification</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Sélectionner la manière dont les clients fournissent des informations d'identification à Forefront TMG</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Pour l'authentification HTTP (option par défaut), activez une ou plusieurs cases à cocher. Dans le déploiement d'un groupe de travail, vous pouvez uniquement sélectionner <strong>De base</strong>.</p>
          <p>Si vous voulez obliger les clients à fournir un certificat, dans la liste déroulante, sélectionnez <strong>Authentification des certificats de client SSL</strong>. </p>
          <p>Pour l'authentification par formulaires, dans la liste déroulante, sélectionnez <strong>Authentification des formulaires HTML</strong>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Collecter des informations d'identification de délégation supplémentaires dans le formulaire</strong>
          </p>
          <p>Cette case à cocher apparaît uniquement lorsque l'option <strong>Authentification par formulaire HTML</strong> est sélectionnée.</p>
        </td>
        <td colspan="2">
          <p>Activez cette case à cocher uniquement si vous souhaitez sélectionner <strong>Mot de passe à usage unique d'authentification pour serveur RADIUS</strong> ou <strong>SecurID</strong>.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p />
        </td>
        <td colspan="1">
          <p>
            <strong>Sélectionner le mode de validation par Forefront TMG des informations d'identification des clients</strong>
          </p>
        </td>
        <td colspan="2">
          <p>Pour l'authentification HTTP, si vous avez sélectionné l'authentification de base dans un groupe de travail, vous pouvez sélectionner <strong>LDAP (Active Directory)</strong> ou <strong>RADIUS</strong>.</p>
          <p>Pour l'authentification par formulaires, sélectionnez l'une des options disponibles.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Paramètres</strong>
            <strong>d'authentification unique (SSO)</strong>
          </p>
        </td>
        <td colspan="1">
          <p>
            <strong>Activer SSO pour les sites Web publiés à l'aide de ce port d'écoute</strong>
          </p>
        </td>
        <td colspan="2">
          <p>L'authentification unique (SSO) n'est disponible que lorsque l'authentification par formulaires est utilisée. Si vous activez l'authentification unique, vous devez cliquer sur <strong>Ajouter</strong> et spécifier un domaine dans lequel l'authentification unique sera appliquée.</p>
        </td>
      </tr>
      <tr>
        <td colspan="2">
          <p>
            <strong>Fin de l'Assistant Nouveau port d'écoute Web</strong>
          </p>
        </td>
        <td colspan="1">
          <p />
        </td>
        <td colspan="2">
          <p>Vérifiez les paramètres, puis cliquez sur <strong>Terminer</strong>.</p>
        </td>
      </tr>
    </table>

  8. Dans le volet des tâches, cliquez sur l'onglet Tâches.

  9. Sous l'onglet Tâches, cliquez sur Publier des sites Web pour ouvrir l'Assistant Nouvelle règle de publication Web.

  10. Exécutez l'Assistant Nouvelle règle de publication Web comme indiqué dans le tableau suivant.

    Page Champ ou propriété Paramètre ou action

    Assistant Nouvelle règle de publication Web

    Nom de la règle de publication Web

    Tapez un nom pour la règle de publication Web. Par exemple, tapez Batterie de serveurs (HTTPS).

    Sélectionnez l'action de la règle

    Action

    Sélectionnez Autoriser.

    Type de publication

    Sélectionnez Publier une batterie de serveurs Web à charge équilibrée.

    Sécurité de la connexion des serveurs

    Sélectionnez Utiliser le protocole SSL pour se connecter au serveur Web publié ou à la batterie de serveurs.

    Détails de publication internes (1)

    Nom de site local

    Tapez le nom de domaine complet de l'un des membres de la batterie de serveurs.

    Détails de publication internes (2)

    Chemin (facultatif)

    Tapez le chemin de votre site Web.

    Spécifiez la batterie de serveurs

    Sélectionnez la batterie de serveurs à publier

    Dans la liste déroulante, sélectionnez la batterie de serveurs que vous avez créée à l'étape 4.

    Sélectionnez le mode d'équilibrage de charge utilisé par Forefront TMG pour les demandes Web entrantes

    Sélectionnez Équilibrage de la charge en fonction des cookies.

    Informations sur le nom public

    Accepter les demandes pour

    Sélectionnez Ce nom de domaine (saisissez ci-dessous).

    Nom public

    Entrez le nom de domaine complet public ou l'adresse IP que les utilisateurs externes utiliseront pour accéder au site Web publié.

    Sélectionnez le port d'écoute Web

    Port d'écoute Web

    Dans la liste déroulante, sélectionnez le port d'écoute Web que vous avez créé à l'étape 7.

    Délégation d'authentification

    Sélectionnez la méthode utilisée par Forefront TMG pour authentifier le serveur Web publié

    Sélectionnez Pas de délégation et le client ne peut pas s'authentifier directement.

    Ensembles d'utilisateurs

    Cette règle s'applique aux demandes émanant des ensembles d'utilisateurs suivants

    Ne modifiez pas l'option par défaut Tous les utilisateurs authentifiés.

    Fin de l'Assistant Nouvelle règle de publication Web

    Vérifiez les paramètres, puis cliquez sur Terminer.

  11. Dans le volet d'informations, cliquez sur Appliquer, puis sur OK.

    12. noteRemarque :
    • Le nom du site local doit pouvoir être résolu en adresse IP.

    • Forefront TMG crée automatiquement un mappage de traduction de liens entre le nom du site interne et le premier nom public spécifié dans la règle. Ce mappage sert à traduire les liens qui utilisent le nom du site local pour référencer la batterie de serveurs sur les pages Web et dans les messages électroniques que reçoivent les utilisateurs externes.

    • Par défaut, Forefront TMG modifie l'en-tête de l'hôte d'origine fourni par une application de navigateur pour la remplacer par un en-tête d'hôte correspondant au nom du site interne.

    • Dans le cadre de la publication sur SSL, un certificat de serveur SSL émis pour le nom d'hôte public du site Web publié doit être installé dans le magasin Personnel de l'ordinateur local sur le serveur Forefront TMG. Si la règle de publication Web requiert une connexion SSL entre l'ordinateur Forefront TMG et un membre de la batterie de serveurs publiés, un certificat de serveur unique avec un nom correspondant au nom ou à l'adresse IP du serveur peut être installé sur chaque membre de la batterie de serveurs publiés, ou le même certificat avec un nom correspondant au nom du site interne peut être installé sur tous les membres de la batterie de serveurs. Pour plus d'informations sur l'obtention et l'installation de certificats de serveur SSL, consultez Configuration de certificats de serveur pour la publication Web sécurisée.

    • Vous pouvez configurer le mode de transmission des informations d'identification au serveur publié dans une règle de publication Web.

    • Les règles de publication Web établissent les correspondances entre les demandes des clients entrantes et le site Web approprié sur le serveur Web.

    • Vous pouvez créer des règles de publication Web qui refuse le trafic, pour bloquer le trafic entrant qui correspond aux conditions des règles.

    • Forefront TMG ne tient pas compte de la casse pour les chemins. Si votre serveur Web contient dossiera et dossierA, et que vous publiez un chemin vers l'un des dossiers, les deux dossiers seront publiés.

    • Pour plus d'informations sur les paramètres dans les règles de publication Web, consultez Planification de la publication.

    Rubriques connexes

    Concepts

    Publication de serveurs Web sur HTTPS