ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Erstellen einer Firewallrichtlinie
Systemrichtlinien
Websiten sperren
Windowsupdate V5
Zeitsynchronisation
Mailzugriff
SMTP Server veröffentlichen
Exchange RPC über HTTPS
Formbased OWA
SSL Bridging mit HOSTS Datei
SSL Bridging mit Split DNS
Lokaler Remotedesktop
RDP-Serververöffentlichung
RDP-Serververöffentlichung 2
SQL Server Veröffentlichung
Oracle veröffentlichen
Ping zulassen
HTTP Filterung

 

Konfiguration von SSL Bridging mit Hilfe der Hosts-Datei


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2004

 

Häufig kommt es vor, dass Sie einen Webserver veröffentlichen wollen, auf dem sich vertrauliche Daten befinden, die Sie vor Dritten schützen wollen. Dazu ist es erforderlich, dass die gesamte Kommunikation geschützt wird und nicht nur ein Teil. Dies können Sie durch SSL-Verschlüsselung erreichen. ISA Server 2004 bietet für die sichere Veröffentlichung von Webservern zwei Möglichkeiten an:
  • SSL-Tunneling
  • SSL-Bridging
Der Unterschied zwischen beiden Möglichkeiten liegt darin, dann beim SSL-Bridging der SSL-Tunnel am ISA Server beendet wird und ein weiterer, neuer, SSL-Tunnel zwischen ISA Server und dem Webserver aufgebaut wird. Dadurch kann der Datenverkehr durch den ISA Server inspiziert werden und es ist z.B. möglich eine Filterung anhand des eingegebenen Pfads durchzuführen, was bei SSL-Tunneling nicht möglich ist, da der SSL-Tunnel durch den ISA Server direkt mit dem Webserver aufgebaut wird. Um einen Webserver per SSL-Bridging zu veröffentlichen brauchen Sie allerdings normalerweise zwei Webserverzertifikate. Eines auf dem ISA Server das für den FQDN ausgestellt ist mit dem Sie die Website aufrufen und ein weiteres Webserverzertifikat, das für den FQDN des Webservers ausgestellt ist.

Webserverzertifikate erhalten Sie normal von kommerziellen Zertifikatsherausgebern, wie z.B. Verisign oder TC Trustcenter, wobei Sie hier beachten müssen, das Sie hierfür pro Zertifikat ca. 200 Euro bezahlen müssen. Bei Verwendung von SSL-Bridging sind das somit ca. 400 Euro, da Sie zwei Webserverzertifiakte benötigen. Alternativ könnten Sie für den Aufbau des SSL-Tunnels zwischen ISA Server und dem Webserver eine eigene Zertifizierungsstelle installieren, von der Sie das Zertifikat beantragen. Diese Möglichkeit erfordert Kenntnisse mit Zertifizierungstellen und für manche Firmen ist der Aufwand zu groß eine eigene Zertifizierungstelle zu betreiben.

1. Konfiguration der lokalen HOSTS-Datei

Es geht auch einfacher! Hierzu müssen Sie einen kleinen Trick anwenden und Sie kommen mit nur einem Zertifikat aus. Erwerben Sie das Zertifikat das für den externen FQDN ausgestellt ist, mit dem Sie die Website aus dem Internet aufrufen, in dieser Anleitung ist das shop.meinefirma.de. Dieses Zertifikat müssen Sie auf dem ISA Server und auf dem Webserver im Zertifikatsspeicher des Computers, mit dem privaten Schlüssel, importieren, damit dieses verwendet werden kann. Auf dem Webserver müssen Sie das Zertifikat noch an die entsprechende Website binden.

Hier würden Sie normal schon auf das erste Problem stossen. Bei SSL-Bridging muss der FQDN des Weiterleitungsservers in der Veröffentlichungsregel mit dem des Zertifikats übereinstimmen, ansonsten kommt es zu einer HTTP 500 Fehlermeldung, die besagt, dass der Zielprinzipialname falsch ist. Die Abänderung des Weiterleitungsservers in shop.meinefirma.de würde dazu führen, dass es zu einer Proxykettenschleife kommt, da die Anfragen immer wieder an die externe IP-Adresse des ISA Servers weitergeleitet werden, weil im DNS-Server shop.meinefirma.de im DNS-Server auf diese IP-Adresse verweist.

Um dieses Problem zu umgehen, haben Sie zwei Möglichkeiten:

  • Eintrag in der HOSTS-Datei
  • Split-DNS-Konfiguration
Die Aufwendigere beider Methoden ist die Split-DNS-Konfiguration, hierbei erstellen Sie eine neue Zone für meinefirma.de in einem internen DNS-Server und lassen einen Host-A Eintrag auf die interne IP-Adresse des Webservers verweisen. Näheres hierzu erfahren Sie in der Anleitung Konfiguration von SSL Bridging mit Split-DNS-Konfiguration. Der einfachere Weg ist die Anpassung der HOSTS-Datei auf dem ISA Server. Öffnen Sie hierzu mit einem Editior Ihrer Wahl die im Verzeichnis C:\Windows\System32\Drivers\etc gespeicherte Datei HOSTS.

Fügen Sie dieser einen Eintrag für shop.meinefirma.de hinzu und verweisen Sie auf die interne IP-Adresse des Webservers. Speichern Sie anschließend die Datei ab und beenden den Editor. Dieser Eintrag bewirkt, dass der bei Aufruf des FQDN shop.meinefirma.de aus den internen Netzwerk die interne IP-Adresse des Webservers zurückgeliefert wird, da zuerst die lokale HOSTS-Datei nach Einträgen durchsucht wird und dann die Anfrage an einen DNS-Server weitergeleitet wird. Somit endet dieser Prozess nach dem Durchsuchen der lokalen HOSTS-Datei und es wird die interne IP-Adresse des Webservers zurückgeliefert. Dies ist genau das, was Sie benötigen, damit Sie auf dem Webserver das gleiche Webserverzertifikat verwenden können. Anschließend können Sie wie gewohnt eine Sichere Webserververöffentlichung erstellen.

2. Erstellung der sicheren Webveröffentlichung

Hinweis: Aufgrund dessen, dass sich die Webserververöffentlichung nicht von einer gewöhnlichen unterscheidet, wird nur auf die wichtigen Schritte genau eingegangen.

Starten Sie aus der ISA Server-Verwaltungskonsole über Firewallrichtlinien -> Neu -> Sichere Webveröffentlichung den Assistenten und vergeben Sie einen Namen für die Webveröffentlichung.

Wählen Sie als Veröffentlichungsmodus SSL-Bridging aus, um den SSL-Tunnel am ISA Server zu beenden und einen weiteren, neuen, SSL-
Tunnel zwischen ISA Server und Webserver aufzubauen.

Lassen Sie Anfragen, die auf diese Firewallrichtlinie zutreffen, zu.

ISA Server bietet mehrere Möglichkeiten des Bridgings an, einmal die sichere Verbindung zwischen Client und ISA Server, die sichere Verbindung zwischen ISA Server und Webserver und die sicheren Verbindungen zwischen allen beteiligten Kommunikationspartnern. Wählen
Bei den ersten beiden Möglichkeiten besteht nur ein SSL-Tunnel, entweder zwischen Client und ISA Server oder zwischen ISA Server oder dem Webserver. Die restliche Kommunkikation wird unverschlüsselt über HTTP übertragen. Um die gesamte Kommunikation per SSL zu schützen wählen Sie die Option Sichere Verbindung mit Clients und Webserver aus.

In diesem Schritt müssen Sie Angaben drarüber machen, an welchen Webserver die Anfrage weitergeleitet wird. Normal würden Sie hier den
wirklichen FQDN des Webservers eintragen, da Sie normal ein Zertifikat auf dem Webserver importiert haben, das für diesen ausgestellt ist,
ansonsten würde die SSL-Verbindung fehlschlagen. Auf dem Webserver haben Sie aber das Webserverzertifikat für shop.meinefirma.de importiert, somit müssen Sie auch diesen FQDN als Weiterleitungsserver eintragen. Durch den Eintrag in der HOSTS-Datei wird der Name in die interne IP-Adresse aufgelöst und an den internen Webserver weitergeleitet.

Tragen Sie den öffentlichen Namen ein, unter dem Sie die Website veröffentlichen wollen. Dieser Schritt ist einer der Vorteile des SSL-Bridgings, da Sie hier die Möglichkeit haben den Zugriff auf bestimmte Pfade des Webservers einzuschränken.

Erstellen Sie einen neuen Weblistener, der für die SSL-Abhörung mit dem Zertifikat shop.meinefirma.de konfiguriert ist, oder wählen Sie einen
bestehenden Weblistener aus.

Sie haben die Möglichkeit den Zugriff auf bestimmte Benutzer einzuschränken. Geben Sie diese bei Bedarf an.

Die Erstellung der sicheren Webveröffentlichung ist nun abgeschlossen und nach Klick auf die Schaltfläche Fertigstellen haben Sie eine weitere
Firewallrichtlinie erstellt, die wie oben gezeigt aussieht.

Rufen Sie die Website von einem externen Client über https://shop.meinefirma.de auf. Sie sollten die Website ohne Fehlermeldung angezeigt bekommen. Anhand des Schloßsymbols rechts unten im Internet Explorer erkennen Sie, dass die Seite durch SSL-gesichert wird.

Somit haben Sie die Website durch SSL-Bridging mit nur einem Zertifikat durch einen kleinen Trick veröffentlicht. Durch den Eintrag in der HOSTS-Datei steht die Website auch für interne Clients unter shop.meinefirma.de zur Verfügung, weil Anfragen von Webproxyclients vom ISA Server selbst aufgelöst werden, der in seiner lokalen HOSTS-Datei einen Verweis auf die interne IP-Adresse des Webserver hat.

 

Stand: Friday, 28. August 2009/CG.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher