ISA Veröffentlichung für HTTPS auf OWA & MOSS

17/11/2007 - 18:21 von Dirk | Report spam
Hallo Newsgroup,

habe mehrere HTTPS-WebServer im LAN (mehrere physische Maschinen), die
jedoch über eine einzige öffentliche IP-Adresse (feste IP) zugànglich
gemacht werden sollen. Ein stinknormales DSL-Router-Portforwarding hilft mir
hier nicht weiter, da ja anhand des Host-Headers unterschieden werden
müsste, an welchen internen Server die Anfrage weitergeleitet werden soll.

Dachte da an eine Webveröffentlichung mittels ISA 2006. Leider scheitere ich
hier am WebListener, da scheinbar nur einmal auf Port 443 gehört werden kann
und scheinbar pro WebListener nur ein Zertifikat wàhlbar ist.

Bsp.:

Im LAN existieren 4 Windows 2003 R2 Server:

1 x W2k3-Domain-Controller der gleichzeitig die private
W2k3-Stammzertifizierungsstelle darstellt
1 x ISA-2006 Standard Edition
1 x Exchange Server 2003
1 x Office Sharepoint Server 2007

folgende Zugriffe sollen möglich sein:

https://mail.domain.de/exchange soll auf OWA des Exchange-Servers
weitergeleitet werden.

https://sharepoint.domain.de soll auf den Sharepoint-Server weitergeleitet
werden.

Beim Webhoster ist im DNS für beide Hosts jeweils die feste IP des
DSL-Providers eingetragen.

Damit ein externer Benutzer beim Web-Site-Aufruf auch die passenden
Zertifikate bekommt, habe ich diese bei der privaten CA (auf dem DC) für die
oben genannten externen URLs ausstellen lassen, und im ersten Schritt
mittels direktem Portforwardings am DSL-Router überprüft.

Test A:
1. DSL-Port-Forwarding des Ports 443 an Exchange-Server-IP
2. Aufruf der URL https://mail.domain.de/exchange an externem Client
3. Resultat: problemloser https-Zugriff auf OWA-Webserver mit Zertifikat,
das auf "mail.domain.de" ausgestellt ist.

Test B:
1. DSL-Port-Forwarding des Ports 443 an Sharepoint-Server-IP
2. Aufruf der URL https://sharepoint.domain.de an externem Client
3. Resultat: problemloser https-Zugriff auf Sharepoint-Webserver mit
Zertifikat, das auf "sharepoint.domain.de" ausgestellt ist.

Nun den ISA-Server dazwischen gehangen und neue interne Zertifikate für den
Exchange- und den Sharepoint-Server erstellt ("mail.domain.local" und
"sharepoint.domain.local"). Danach gleich noch zwei Zertfikate für den
ISA-Server auf die externen URLs erstellt ("mail.domain.de" und
"sharepoint.domain.de") im guten Glauben, sie gleich für die Web-Listener zu
benötigen.

Mit der Exchange-Webveröffentlichung begonnen und einen Web-Listener für den
Port 443 erstellt und ihm das Zertifikat für "mail.domain.de" zugewiesen.
Bis hierhin lief alles noch ohne Probleme.

Nach DSL-Router-Forwarding des Ports 443 auf die IP des ISAs noch schnell
den Test vom externen Client gemacht, und siehe da, es funktionierte sogar.
Sprich der Zugriff mittels externen Client auf die URL
https://mail.domain.de/exchange brachte mich auf die OWA-Anmeldeseite des
Exchange-Servers.

Nun wollte ich das selbe auch nochmal für den Sharepoint-Server machen. Also
Sharepoint-Veröffentlichung ausgewàhlt, externe URL eingetragen, internen
Server ausgewàhlt und zur WebListener-Auswahl weiter gegangen. Dort nun
folgende Probleme:

1. Ich kann scheinbar nur einen Weblistener erstellen der auf Port 443 hört.
2. Ich kann scheinbar pro Weblistener nur ein Zertifikat auswàhlen (entweder
"mail.domain.de" oder "sharepoint.domain.de")

Sch..ade aber auch.

Gibt es hierfür eine Lösung? Oder einen anderen Lösungsansatz?

Dachte da an sowas, wie ein Zertifikat das für mehrere URLs (mail.domain.de
UND sharepoint.domain.de) gilt. Und wenn ja, wie erstelle ich mir dieses mit
Hilfe der W2k3-Zertifizierungsstelle?

Schon mal meinen Dank für eure Gedult beim Lesen ...

In Hoffnung auf Hilfe ...

Gruß Dirk
 

Lesen sie die antworten

#1 Benjamin Wagrocki
17/11/2007 - 19:27 | Warnen spam
Du kannst Dir ein sog. Wildcartzertifikat erstellen.
Bei der Anforderung der Zertifikates gibts Du einfach dies ein:

*.domain.de

Also ein Stern statt mail oder sharepoint.

Das Zertifikat kannste dann für OWA usw. verwenden.

Gruß
-Benjamin-

Ähnliche fragen