Публикация за SSL-ускорителем

Чтобы выполнить публикацию за SSL-ускорителем

В дереве консоли диспетчера Forefront TMG выберите пункт Политика межсетевого экрана.
В области задач щелкните вкладку Инструментарий.
На вкладке Инструментарий щелкните Сетевые объекты, нажмите кнопку Создать, затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.

Страница	Поле или свойство	Параметр или действие
Страница приветствия мастера создания веб-прослушивателя	Имя веб-прослушивателя	Введите имя для нового веб-прослушивателя. Например, введите: SSL Accelerator Listener
Безопасность клиентских подключений		Выберите Не требовать безопасного подключения SSL для клиентов.
IP-адреса веб-прослушивателя	Прослушивать входящие веб-запросы данных сетей	Выберите сеть Внешняя. Нажмите кнопку Выберите IP-адреса, затем выберите Заданные IP-адреса на компьютере Forefront TMG в выбранной сети. Из списка Доступные IP-адреса выберите IP-адрес для веб-узла, по которому Forefront TMG будет прослушивать HTTP-запросы с SSL-ускорителя, нажмите кнопку Добавить, а затем кнопку ОК.
Параметры проверки подлинности	Выберите, как клиенты будут предоставлять учетные данные для Forefront TMG	В раскрывающемся списке выберите пункт Без проверки подлинности.
Параметры единого входа	Включить единый вход в систему для узлов, опубликованных при помощи этого прослушивателя	Единый вход в систему недоступен в данной конфигурации.
Завершение работы мастера создания веб-прослушивателя		Просмотрите настройки и нажмите кнопку Готово.

В области сведений нажмите кнопку Применить, чтобы сохранить и обновить настройки, затем нажмите кнопку ОК.

Чтобы задать порт, на который Forefront TMG будет возвращать ответы для SSL-ускорителя, скопируйте следующий код в файл блокнота и сохраните его под именем SetSslAcceleratorPort.vbs. Затем в командной строке для прослушивателя SSL-ускорителя введите:CScript SetSslAcceleratorPort.vbs "SSL Accelerator Listener"

	Копировать код
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ' © Корпорация Майкрософт (Microsoft Corp.) Все права защищены. ' ДАННЫЙ КОД ПРЕДОСТАВЛЯЕТСЯ БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ' ВСЯ ОТВЕТСТВЕННОСТЬ ЗА ИСПОЛЬЗОВАНИЕ И ПОСЛЕДСТВИЯ ИСПОЛЬЗОВАНИЯ ДАННОГО ' КОДА ЛЕЖИТ НА ПОЛЬЗОВАТЕЛЕ. ПОЭТОМУ ИСПОЛЬЗОВАНИЕ И ПЕРЕДАЧА ЭТОГО КОДА, 'С ИЗМЕНЕНИЯМИ ИЛИ БЕЗ ТАКОВЫХ, РАЗРЕШЕНЫ. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Option Explicit ' Определить необходимую константу const Error_FileNotFound = &H80070002 Main(WScript.Arguments) Sub Main(args) If(args.Count = 1) Then SetSslAcceleratorPort args(0) Else Usage() End If End Sub Sub SetSslAcceleratorPort(wlName) ' Создать корневой объект. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") ' Объявить другие необходимые объекты. Dim tmgArray ' An FPCArray object Dim webListener ' An FPCWebListener object Dim text ' A String Dim input ' A String ' Получить ссылку на локальный объект массива. Set tmgArray = root.GetContainingArray() ' Получить ссылку на указанный веб-прослушиватель. On Error Resume Next Set webListener = _ tmgArray.RuleElements.WebListeners.Item(wlName) If Err.Number = Error_FileNotFound Then WScript.Echo _ "Указанный веб-прослушиватель не может быть найден." Else Err.Clear On Error GoTo 0 With webListener.Properties If .SSLAcceleratorPort = 0 Then text = "Не настроено ни одного порта SSL-ускорителя." _ & VbCrLf _ & "Введите ненулевое значение, чтобы активировать" _ & VbCrLf _ & "порт SSL-ускорителя." Else text = "Текущий порт SSL-ускорителя: " _ & .SSLAcceleratorPort _ & VbCrLf _ & "Вы можете изменить это значение или введите 0" _ & VbCrLf _ & "чтобы деактивировать порт SSL-ускорителя." End If input = InputBox(text,"Порт SSL-ускорителя", "443") End With If CInt(input) <> _ webListener.Properties.SSLAcceleratorPort Then WScript.Echo "Изменение порта SSL-ускорителя на " _ & CInt(input) & "..." webListener.Properties.SSLAcceleratorPort = CInt(input) End If If webListener.Properties.SSLAcceleratorPort <> 0 Then WScript.Echo "Проверка, что порт SSL-ускорителя установлен на 0..." webListener.Properties.SSLPort = 0 End If webListener.Save End If End Sub Sub Usage() WScript.Echo "Usage:" & VbCrLf _ & " CScript " & WScript.ScriptName & " WebListener" _ & VbCrLf & "" & VbCrLf _ & " WebListener - Name of the Web listener" WScript.Quit End Sub

Копировать код

'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ' © Корпорация Майкрософт (Microsoft Corp.) Все права защищены. ' ДАННЫЙ КОД ПРЕДОСТАВЛЯЕТСЯ БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ' ВСЯ ОТВЕТСТВЕННОСТЬ ЗА ИСПОЛЬЗОВАНИЕ И ПОСЛЕДСТВИЯ ИСПОЛЬЗОВАНИЯ ДАННОГО ' КОДА ЛЕЖИТ НА ПОЛЬЗОВАТЕЛЕ. ПОЭТОМУ ИСПОЛЬЗОВАНИЕ И ПЕРЕДАЧА ЭТОГО КОДА, 'С ИЗМЕНЕНИЯМИ ИЛИ БЕЗ ТАКОВЫХ, РАЗРЕШЕНЫ. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Option Explicit

' Определить необходимую константу const Error_FileNotFound = &H80070002

Main(WScript.Arguments)

Sub Main(args) If(args.Count = 1) Then SetSslAcceleratorPort args(0) Else Usage() End If End Sub

Sub SetSslAcceleratorPort(wlName)

	' Создать корневой объект. Dim root  ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root")

	' Объявить другие необходимые объекты. Dim tmgArray		' An FPCArray object Dim webListener	 ' An FPCWebListener object Dim text			' A String Dim input		 ' A String

	' Получить ссылку на локальный объект массива. Set tmgArray = root.GetContainingArray()

	' Получить ссылку на указанный веб-прослушиватель. On Error Resume Next Set webListener = _ tmgArray.RuleElements.WebListeners.Item(wlName) If Err.Number = Error_FileNotFound Then WScript.Echo _ "Указанный веб-прослушиватель не может быть найден." Else Err.Clear On Error GoTo 0 With webListener.Properties If .SSLAcceleratorPort = 0 Then text = "Не настроено ни одного порта SSL-ускорителя." _ & VbCrLf _ & "Введите ненулевое значение, чтобы активировать" _ & VbCrLf _ & "порт SSL-ускорителя." Else text = "Текущий порт SSL-ускорителя: " _ & .SSLAcceleratorPort _ & VbCrLf _ & "Вы можете изменить это значение или введите 0" _ & VbCrLf _ & "чтобы деактивировать порт SSL-ускорителя." End If input = InputBox(text,"Порт SSL-ускорителя", "443") End With If CInt(input) <> _ webListener.Properties.SSLAcceleratorPort Then WScript.Echo "Изменение порта SSL-ускорителя на " _ & CInt(input) & "..." webListener.Properties.SSLAcceleratorPort = CInt(input) End If If webListener.Properties.SSLAcceleratorPort <> 0 Then WScript.Echo "Проверка, что порт SSL-ускорителя установлен на 0..." webListener.Properties.SSLPort = 0 End If webListener.Save End If End Sub

Sub Usage() WScript.Echo "Usage:" & VbCrLf _ & "  CScript " & WScript.ScriptName & " WebListener" _ & VbCrLf & "" & VbCrLf _ & "	WebListener - Name of the Web listener" WScript.Quit End Sub

Примечания

Если перед Forefront TMG установлено устройство SSL-ускорителя, весь веб-трафик перехватывается устройством и передается на Forefront TMG. Когда устройство получает HTTPS-трафик от клиента, оно завершает SSL-подключение к устройству, расшифровывает трафик и передает его как HTTP на Forefront TMG, который обычно получает трафик на порт 80. Эта процедура настраивает Forefront TMG на распознавание SSL-ускорителя между ним и сетью Интернет. Также эта процедура настраивает Forefront TMG на отправку ответов на правильный порт на SSL-ускорителе и предоставление HTTPS-ссылок в ответе, возвращаемом SSL-ускорителем.
Если HTTPS-запросы от клиента являются запросами веб-клиента Microsoft Outlook, Forefront TMG автоматически присваивает заголовок, указывающий серверу веб-клиента Outlook, что ему следует возвратить HTTPS-ответ. Это происходит независимо от того, был ли Forefront TMG настроен на работу за SSL-ускорителем.
Эта процедура применима только для внешнего SSL-ускорителя, соединенного с сетью Интернет и находящегося перед компьютером Forefront TMG, который взаимодействует с ней через сетевое подключение. Если на компьютере Forefront TMG или на внешнем устройстве, подключенном к компьютеру Forefront TMG с помощью SCSI-интерфейса, установлена карта SSL-ускорителя, не требуется вносить изменения в какие-либо настройки в Forefront TMG.
Веб-прослушиватель должен прослушивать HHTP-запросы по отдельному IP-адресу, по которому никакой другой веб-прослушиватель не прослушивает HHTP-запросы. Для этого необходим либо дополнительный IP-адрес на сетевой плате, подключенной к внешней сети, или отдельная сетевая плата для SSL-ускорителя. При использовании отдельной сетевой платы необходимо определить новую сеть, содержащую SSL-ускоритель, и настроить веб-прослушиватель на прослушивание в этой сети.
Если ваш SSL-ускоритель подключен к Интернету, имя SSL-сертификата сервера должно соответствовать внешнему имени узла или IP-адресу, который внешние клиенты будут вводить в своем обозревателе, чтобы получить доступ к опубликованному веб-узлу.
Порт, на который Forefront TMG возвращает ответы для устройства SSL-ускорителя перед Forefront TMG, не может быть установлен с помощью диспетчера Forefront TMG. Приведенный сценарий также обеспечивает отключение HTTPS-прослушивания на веб-прослушивателе.