ISA server publishing

Web Publicering via een HTTPS verbinding


Wanneer u beveiligde Web Publishing Rules gebruikt om een interne Webserver te publiceren via een ISA server, dan arriveren client aanvragen voor de Web server op de ISA computer via een HTTPS verbinding. Deze worden doorgestuurd (bridged) van de ISA Server naar de gepubliceerde Webserver. U kunt kiezen om:

  • Doorsturen van HTTPS aanvragen naar de gepubliceerde Webserver via HTTP. In dit scenario authenticeert de ISA Server de vragende client met gebruik van een SSL server certificaat. Een SSL certificaat is alleen vereist op de ISA Server computer.
  • Doorsturen van HTTPS aanvragen naar de gepubliceerde Webserver via HTTPS. Dit is een nauwkeurigere configuratie, die HTTPS door de gehele verbinding behoudt. In dit scenario authenciteert de ISA server naar de vragende client met gebruik van een SSL certificaat en de gepubliceerde webserver authenticeert naar de ISA Server computer met gebruik van een SSL certificaat. Er wordt een certificaat vereist op zowel de ISA Server computer als op de gepubliceerde webserver.

 

Installatie en Configuratie Tips

Er zijn veschillende punten waar u op moet letten bij het verkrijgen, installeren en het configureren van certificaten:

  • Om de ISA Server te authenciteren naar externe clienten gebruikt u meestal een certificaat van een CA. Omdat IIS normaal niet is geinstalleerd op de ISA Server, vraagt u een certificaat aan en installeert deze met gebruik van de Web Server Certificate Wizard in IIS op de Webserver die u wenst te publiceren, en exporteer deze daarna naar de ISA Server. Op dit moment is er geen manier om een direct een server certificaat aan te vragen vanuit de ISA Server naar de CA.
  • Wanneer u in voor de CSR een common name specificeert, zijn er verschillende richtlijnen om te volgen:
  1. De naam van het certificaat op de ISA Server computer moet overeenkomen met de naam die externe clienten specificeren om op de Website te komen. Dit is niet van toepassing als u een wildcard certificaat gebruikt.
  2. In een HTTPS naar HTTPS Web publicatie scenario (vereist een server certificaat op zowel de ISA Server computer als op de gepubliceerde Webserver), moet de naam van het certificaat op de IIS Website van de gepubliceerde server overeenkomen met de naam waarmee de ISA Server de Webserver identificeert. (Deze naam is gespecificeerd op de To tab van de Web Publishing Rules > Properties

 

- Tussen het creeeren van de CSR en het installeren van het certificaat, doe geen van het volgende:

* Verander de computernaam of Website bindings.

* Verander encryptie niveau's (pas de hoge encryptie toe).

* Verwijder de pending request. 

* Verander een van de Website's Secure Communications eigenschappen.

 

  • Wanneer u het certificaat exporteert van de Webserver om te importeren in de ISA Server, moet u tevens de private key exporteren. In de Certificate Export Wizard, indien u Yes, export the private key nietselecteert, dan kunt u het certificaat niet binden aan een Web listener wanneer u de Web Publishing Rule creeert.
  • Server certificaten moeten worden geimporteerd onder het Local Computer account en worden opgeslagen in de Personal certificate store van de ISA Server computer.
  • Wanneer u een bestand exporteert van de Webserver om te importeren in de ISA Server computer, selecteer de optie Include all certificates in the certification path if possible. Dit staat zowel het Website certificaat en een CA certificaat toe om te worden bijgevoegd bij het exporteren.

 

 

    

 

 

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.