Konfiguration von SSL Bridging mit Split-DNS-Konfiguration
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Häufig kommt es vor, dass Sie einen Webserver veröffentlichen wollen, auf dem sich vertrauliche Daten befinden, die Sie vor Dritten schützen wollen. Dazu ist es erforderlich, dass die gesamte Kommunikation geschützt wird und nicht nur ein Teil. Dies können Sie durch SSL-Verschlüsselung erreichen. ISA Server 2004 bietet für die sichere Veröffentlichung von Webservern zwei Möglichkeiten an:
- SSL-Tunneling
- SSL-Bridging
Webserverzertifikate erhalten Sie normal von kommerziellen Zertifikatsherausgebern, wie z.B. Verisign oder TC Trustcenter, wobei Sie hier beachten müssen, das Sie hierfür pro Zertifikat ca. 200 Euro bezahlen müssen. Bei verwendung von SSL-Bridging sind das somit ca. 400 Euro, da Sie zwei Webserverzertifiakte benötigen. Alternativ könnten Sie für den Aufbau des SSL-Tunnels zwischen ISA Server und dem Webserver eine eigene Zertifizierungsstelle installieren, von der Sie das Zertifikat beantragen. Diese Möglichkeit erfordert Kenntnisse mit Zertifizierungstellen und für manche Firmen ist der Aufwand zu groß eine eigene Zertifizierungstelle zu betreiben.
1. Konfiguration des DNS-Servers
In der Anleitung Konfiguration von SSL Bridging mit Konfiguration der Hosts-Datei wurde behandelt, wie Sie SSL-Brdiging mit nur einem Zertifikat konfigurieren, indem Sie die lokale HOSTS-Datei des ISA Servers konfigurieren. Eine weitere Möglichkeit bietet die Split-DNS-Konfiguration. Dabei benötigen Sie wiederum nur ein Webserverzertifikat, das für den externen FQDN ausgestellt ist, welches Sie auf dem ISA Server und dem Webserver importieren müssen. Auch hier würden Sie auf das Problem stossen, dass bei SSL-Bridging der FQDN des Weiterleitungsservers in der Veröffentlichungsregel mit dem des Zertifikats übereinstimmen muss, weil ansonsten der Aufruf zu einer HTTP 500 Fehlermeldung führt, die besagt, dass der Zielprinzipialname falsch ist. Die Abänderung des Weiterleitungsservers in shop.meinefirma.de würde wieder dazu führen, dass es zu einer Proxykettenschleife kommt, da die Anfragen immer wieder an die externe IP-Adresse des ISA Servers weitergeleitet werden, da im DNS-Server shop.meinefirma.de im DNS-Server auf diese IP-Adresse verweist.Wie bereits erwähnt haben Sie zwei Möglichkeiten dieses Problem zu umgehen:
- Eintrag in der HOSTS-Datei
- Split-DNS-Konfiguration
In diesem Szenario befindet sich auf dem ISA Server ein DNS-Server, der DNS-Anfragen für externe Server an den DNS-Server des Internetanbieters weiterleitet.
Konfigurieren Sie zunächst den DNS-Server.
Öffnen Sie hierzu die Verwaltungskonsole für den DNS-Server über Start -> Programme -> Verwaltung -> DNS-Server und erstellen Sie unter Forward-Lookup-Zonen über Neu aus dem Kontextmenu eine neue Forward-Lookup-Zone.
Es öffnet sich der Assistent, der Sie durch die Erstellung einer neuen Forward-Lookup-Zone leiten wird.
Wählen Sie als Zonentyp Primär aus, dies bedeutet, dass dieser DNS-Server für diese Domäne verantwortlich ist und er sich nicht wie in den beiden anderen Möglichkeiten die Zonendaten von anderen DNS-Server übertragen muss. Ein primärer DNS-Server ist sozusagen der Haupt-DNS-Server für diese Zone.
Tragen Sie als Zonennamen meinefirma.de ein, damit Sie später DNS-Einträge für diese Zone erstellen können.
Sollten Sie die Zonendatei für diese Forward-Lookup-Zone bereits vorliegen haben, können Sie diese hier einbinden, andernfalls haben Sie die Möglichkeit eine neue Zonendatei für diese Forward-Lookup-Zone zu erstellen. Belassen Sie in diesem Fall den Namen bei der Vorgabe.
Dynamische Updates werden nicht benötigt, da sich die IP-Adresse des Webservers nicht ändern wird. Belassen Sie diese Option deaktiviert.
Die Erstellung der Forward-Lookup-Zone für meinefirma.de ist abgeschlossen.
Für die DNS-Auflösung von shop.meinefirma.de in die interne IP-Adresse des Webservers müssen Sie einen HOST-A Eintrag hinzufügen. Wählen Sie hierzu aus dem Kontextmenu der Forward-Lookup-Zone Neuer Host (A) aus und tragen Sie als Name shop und die dazugehörige IP-Adresse des Webservers ein, auf dem die Website gehostet wird.
Kontrollieren Sie abschließend nocheinmal die Konfiguration der Forward-Lookup-Zone. Sie müssten einen Eintrag für shop darin haben der auf den internen Webserver verweist. Zur Sicherheit können Sie auch in der Eingabeaufforderung durch den Befehl nslookup shop.meinefirma.de überprüfen, ob Sie die interne IP-Adresse zurückgeliefert bekommen.
2. Erstellung der sicheren Webveröffentlichung
Hinweis: Aufgrund dessen, dass sich die Webserververöffentlichung nicht von einer gewöhnlichen unterscheidet, wird nur auf die wichtigen Schritte genau eingegangen.
Starten Sie aus der ISA Server-Verwaltungskonsole über Firewallrichtlinien -> Neu -> Sichere Webveröffentlichung den Assistenten und vergeben Sie einen Namen für die Webveröffentlichung.
Wählen Sie als Veröffentlichungsmodus SSL-Bridging aus, um den SSL-Tunnel am ISA Server zu beenden und einen weiteren, neuen, SSL- Tunnel zwischen ISA Server und Webserver aufzubauen.
Lassen Sie Anfragen, die auf diese Firewallrichtlinie zutreffen, zu.
ISA Server bietet mehrere Möglichkeiten des Bridgings an, einmal die sichere Verbindung zwischen Client und ISA Server, die sichere Verbindung zwischen ISA Server und Webserver und die sicheren Verbindungen zwischen allen beteiligten Kommunikationspartnern. Wählen Bei den ersten beiden Möglichkeiten besteht nur ein SSL-Tunnel, entweder zwischen Client und ISA Server oder zwischen ISA Server oder dem Webserver. Die restliche Kommunkikation wird unverschlüsselt über HTTP übertragen. Um die gesamte Kommunikation per SSL zu schützen wählen Sie die Option Sichere Verbindung mit Clients und Webserver aus.
In diesem Schritt müssen Sie Angaben drarüber machen, an welchen Webserver die Anfrage weitergeleitet wird. Normal würden Sie hier den wirklichen FQDN des Webservers eintragen, da Sie normal ein Zertifikat auf dem Webserver importiert haben, das für diesen ausgestellt ist, ansonsten würde die SSL-Verbindung fehlschlagen. Auf dem Webserver haben Sie aber das Webserverzertifikat für shop.meinefirma.de importiert, somit müssen Sie auch diesen FQDN als Weiterleitungsserver eintragen. Durch die Split-DNS-Konfiguration wird der interne DNS-Server nach einem Eintrag für shop.meinefirma.de gefragt. Dieser besitzt eine Forward-Lookup-Zone für meinefirma.de und einen Host-A Eintrag für shop wodurch er diesen an den Client, übermittelt.
Tragen Sie den öffentlichen Namen ein, unter dem Sie die Website veröffentlichen wollen. Dieser Schritt ist einer der Vorteile des SSL-Bridgings, da Sie hier die Möglichkeit haben den Zugriff auf bestimmte Pfade des Webservers einzuschränken.
Erstellen Sie einen neuen Weblistener, der für die SSL-Abhörung mit dem Zertifikat shop.meinefirma.de konfiguriert ist, oder wählen Sie einen bestehenden Weblistener aus.
Sie haben die Möglichkeit den Zugriff auf bestimmte Benutzer einzuschränken. Geben Sie diese bei Bedarf an.
Die Erstellung der sicheren Webveröffentlichung ist nun abgeschlossen und nach Klick auf die Schaltfläche Fertigstellen haben Sie eine weitere Firewallrichtlinie erstellt, die wie oben gezeigt aussieht.
Rufen Sie die Website von einem externen Client über https://shop.meinefirma.de auf. Sie sollten die Website ohne Fehlermeldung angezeigt bekommen. Anhand des Schloßsymbols rechts unten im Internet Explorer erkennen Sie, dass die Seite durch SSL-gesichert wird. Somit haben Sie die Website durch SSL-Bridging mit nur einem Zertifikat durch Split-DNS-Konfiguration veröffentlicht.
Hinweis: Beachten Sie, dass durch das Anlegen der Forward-Lookup-Zone meinefirma.de ihr interner DNS-Server für die gesamte Domäne verantwortlich ist. Sie müssen alle evtl. vorhandenen Host-A Einträge, wie z.B. www für Ihren Webserver, hinzufügen, ansonsten verlaufen diese Anfragen im Nirvana und die Websites sind nicht mehr erreichbar.
Stand: Friday, 28. August 2009/CG.
