Publication derrière un accélérateur SSL
Publication: novembre 2009
Mis à jour: février 2010
S'applique à: Forefront Threat Management Gateway (TMG)
Publication derrière un accélérateur SSL
Dans l'arborescence de la console de gestion de Forefront TMG, cliquez sur le nœud Stratégie de pare-feu.
Dans le volet des tâches, cliquez sur l'onglet Boîte à outils.
Sous l'onglet Boîte à outils, cliquez sur Objets réseau et sur Nouveau, puis sélectionnez Port d'écoute Web pour ouvrir l'Assistant Nouveau port d'écoute Web.
Suivez les étapes de l'Assistant Nouveau port d'écoute Web, tel qu'indiqué dans le tableau suivant.
Page Champ ou propriété Paramètre ou action Assistant Nouveau port d'écoute Web
Nom du port d'écoute Web
Tapez un nom pour le port d'écoute Web. Par exemple, tapez : Port d'écoute Accélérateur SSL
Sécurité de la connexion des clients
Sélectionnez Ne requiert aucune connexion sécurisée SSL avec des clients.
Adresses IP du port d'écoute Web
Écouter les demandes Web entrantes sur ces réseaux
Sélectionnez le réseau Externe. Cliquez sur Sélectionner les adresses IP, puis sélectionnez Les adresses IP spécifiées inscrites sur l'ordinateur Forefront TMG qui sont dans le réseau sélectionné. Dans la liste Adresses IP disponibles, sélectionnez l'adresse IP sur laquelle Forefront TMG écoutera les requêtes HTTP de l'accélérateur SSL, cliquez sur Ajouter, puis sur OK.
</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Paramètres d'authentification</strong> </p> </td> <td colspan="1"> <p> <strong>Sélectionner la manière dont les clients fournissent des informations d'identification à Forefront TMG</strong> </p> </td> <td colspan="2"> <p>Dans la liste déroulante, sélectionnez <strong>Aucune Authentification</strong>.</p> <p> </p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Paramètres d'authentification unique (SSO)</strong> </p> </td> <td colspan="1"> <p> <strong>Activer SSO pour les sites Web publiés à l'aide de ce port d'écoute</strong> </p> </td> <td colspan="2"> <p>L'authentification unique n'est pas disponible dans cette configuration.</p> </td> </tr> <tr> <td colspan="2"> <p> <strong>Fin de l'Assistant Nouveau port d'écoute Web</strong> </p> </td> <td colspan="1"> <p /> </td> <td colspan="2"> <p>Vérifiez les paramètres, puis cliquez sur <strong>Terminer</strong>.</p> </td> </tr> </table>Dans le volet d'informations, cliquez sur le bouton Appliquer pour enregistrer et mettre à jour la configuration, puis cliquez sur OK.
Pour définir le port auquel Forefront TMG retournera des réponses à l'accélérateur SSL, copiez le code suivant vers un fichier Bloc-notes et enregistrez-le sous SetSslAcceleratorPort.vbs. Ensuite, pour un port d'écoute Web nommé Port d'écoute Accélérateur SSL, à une invite de commandes, tapez :
CScript SetSslAcceleratorPort.vbs "Port d'écoute Accélérateur SSL"'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ' Copyright (c) Microsoft Corporation. Tous droits réservés. ' CE CODE EST FOURNI EN L'ÉTAT, SANS GARANTIE D'AUCUNE SORTE. ' L'UTILISATEUR RECONNAÎT ASSUMER TOUS LES RISQUES LIÉS À L'UTILISATION ' DE CE CODE. L'UTILISATION ET LA REDISTRIBUTION DE CE CODE, ' AVEC OU SANS MODIFICATION, EST AUTORISÉ PAR LA PRÉSENTE. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Option Explicit ' Définissez la constante requise const Error_FileNotFound = &H80070002 Main(WScript.Arguments) Sub Main(args) If(args.Count = 1) Then SetSslAcceleratorPort args(0) Else Usage() End If End Sub Sub SetSslAcceleratorPort(wlName) ' Créez l'objet racine. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") ' Déclarez les autres objets requis. Dim tmgArray ' An FPCArray object Dim webListener ' An FPCWebListener object Dim text ' A String Dim input ' A String ' Get a reference to the local array object. Set tmgArray = root.GetContainingArray() ' Obtenez une référence au port d'écoute Web spécifié. On Error Resume Next Set webListener = _ tmgArray.RuleElements.WebListeners.Item(wlName) If Err.Number = Error_FileNotFound Then WScript.Echo _ "Le port d'écoute Web spécifié est introuvable." Else Err.Clear On Error GoTo 0 With webListener.Properties If .SSLAcceleratorPort = 0 Then text = "Aucun port d'accélérateur SSL n'est configuré." _ & VbCrLf _ & "Vous pouvez entrer une valeur non nulle pour activer" _ & VbCrLf _ & "un port d'accélérateur SSL." Else text = "Port d'accélérateur SSL actuel : " _ & .SSLAcceleratorPort _ & VbCrLf _ & "Vous pouvez modifier cette valeur ou entrer 0" _ & VbCrLf _ & "pour désactiver le port d'accélérateur SSL." End If input = InputBox(text,"Port d'accélérateur SSL", "443") End With If CInt(input) <> _ webListener.Properties.SSLAcceleratorPort Then WScript.Echo "Modification du port d'accélérateur SSL sur " _ & CInt(input) & "..." webListener.Properties.SSLAcceleratorPort = CInt(input) End If If webListener.Properties.SSLAcceleratorPort <> 0 Then WScript.Echo "Vérification de la définition du port SSL sur 0..." webListener.Properties.SSLPort = 0 End If webListener.Save End If End Sub Sub Usage() WScript.Echo "Usage:" & VbCrLf _ & " CScript " & WScript.ScriptName & " WebListener" _ & VbCrLf & "" & VbCrLf _ & " WebListener - Nom du port d'écoute Web" WScript.Quit End Sub.gif "note")
Remarque :- Lorsque vous disposez d'un périphérique accélérateur SSL externe devant Forefront TMG, tout le trafic Web est intercepté par le périphérique puis transmis à Forefront TMG. Lorsque le périphérique reçoit le trafic HTTPS d'un client, il met fin à la connexion SSL au périphérique, en décryptant le trafic puis en le transmettant comme trafic HTTP à Forefront TMG, qui reçoit généralement le trafic sur le port 80. Cette procédure configure Forefront TMG pour reconnaître qu'il y a un accélérateur SSL entre lui et Internet. Cette procédure configure également Forefront TMG pour envoyer des réponses au port correct sur l'accélérateur SSL et pour fournir des liens HTTPS dans la réponse qui sera renvoyée par l'accélérateur SSL.
- Pour le cas spécifique où la requête HTTPS provenant du client est une demande Microsoft Outlook Web Access, Forefront TMG ajoute automatiquement un en-tête indiquant au serveur Outlook Web Access qu'il doit renvoyer une réponse HTTPS. Ceci a lieu indépendamment du fait que Forefront TMG soit configuré pour fonctionner derrière l'accélérateur SSL.
- Cette procédure est uniquement applicable pour un accélérateur externe SSL connecté à Internet et se trouve devant l'ordinateur Forefront TMG, qui communique avec lui sur une connexion réseau. Si une carte d'accélérateur SSL est installée directement sur l'ordinateur Forefront TMG ou un périphérique externe connecté à l'ordinateur Forefront TMG avec une interface SCSI (Small Computer System Interface), aucune modification de configuration dans Forefront TMG n'est requise.
- Le port d'écoute Web doit écouter les requêtes HTTP sur une adresse IP distincte, sur laquelle aucun autre port d'écoute Web n'écoute les requêtes HTTP. Ceci nécessite une adresse IP supplémentaire sur la carte réseau connectée au réseau externe, ou une carte réseau distincte dédiée à l'accélérateur SSL. Si vous utilisez une carte réseau distincte, vous devrez définir un nouveau réseau contenant l'accélérateur SSL et configurer le port d'écoute Web pour écouter sur ce réseau.
- Si votre accélérateur est connecté à Internet, le nom sur son certificat de serveur SSL doit correspondre au nom d'hôte public ou à l'adresse IP que les clients externes taperont dans leur navigateur Web pour accéder au site Web publié.
- Le port vers lequel Forefront TMG renvoie les réponses à un périphérique d'accélérateur SSL externe devant Forefront TMG ne peut pas être défini dans la console Gestion Forefront TMG. Le script fourni assure également que l'écoute HTTPS est désactivée sur le port d'écoute Web.
Rubriques connexes
Concepts