Публикация за SSL-ускорителем

Чтобы выполнить публикацию за SSL-ускорителем

В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
В области Задачи откройте вкладку Инструментарий.
На вкладке Инструментарий щелкните Сетевые объекты, нажмите кнопку Создать, а затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.

Страница	Поле или свойство			Параметр или действие
Страница приветствия мастера создания веб-прослушивателя	Имя веб-прослушивателя			Введите имя для нового веб-прослушивателя. Например, введите: SSL Accelerator Listener
Безопасность клиентских подключений				Выберите Не требовать безопасного подключения SSL для клиентов.
IP-адреса веб-прослушивателя	Прослушивать входящие веб-запросы данных сетей			Выберите сеть Внешняя. Нажмите кнопку Выбрать IP-адреса, затем установите флажок Указанные IP-адреса на компьютере Forefront TMG в выбранной сети. Из списка Доступные IP-адреса выберите IP-адрес для веб-сайта, по которому Forefront TMG будет прослушивать HTTP-запросы с SSL-ускорителя, нажмите кнопку Добавить, а затем кнопку ОК.
Параметры проверки подлинности		Укажите способ предоставления клиентами учетных данных для Forefront TMG.	В раскрывающемся списке выберите пункт Без проверки подлинности.
Параметры единого входа		Включение единого входа в систему для узлов, опубликованных при помощи этого прослушивателя	Единый вход в систему недоступен в данной конфигурации.
Завершение работы мастера создания веб-прослушивателя			Просмотрите параметры и нажмите кнопку Готово.

В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем — кнопку ОК.

Чтобы задать порт, на который Forefront TMG будет возвращать ответы SSL-ускорителю, скопируйте следующий код в файл блокнота и сохраните его как SetSslAcceleratorPort.vbs. Затем в командной строке для прослушивателя SSL-ускорителя введите:
CScript SetSslAcceleratorPort.vbs "SSL Accelerator Listener"

	Копировать код
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ' © Корпорация Майкрософт (Microsoft Corporation) Все права защищены. ' ДАННЫЙ КОД ПРЕДОСТАВЛЯЕТСЯ БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. ' ВСЯ ОТВЕТСТВЕННОСТЬ ЗА ИСПОЛЬЗОВАНИЕ И ПОСЛЕДСТВИЯ ИСПОЛЬЗОВАНИЯ ДАННОГО ' КОДА ЛЕЖИТ НА ПОЛЬЗОВАТЕЛЕ. ПОЭТОМУ ИСПОЛЬЗОВАНИЕ И ПЕРЕДАЧА ЭТОГО КОДА, ' С ИЗМЕНЕНИЯМИ ИЛИ БЕЗ ТАКОВЫХ, РАЗРЕШЕНЫ. ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' Option Explicit ' Определение необходимой константы const Error_FileNotFound = &H80070002 Main(WScript.Arguments) Sub Main(args) If(args.Count = 1) Then SetSslAcceleratorPort args(0) Else Usage() End If End Sub Sub SetSslAcceleratorPort(wlName) ' Создание корневого объекта. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") ' Объявление других необходимых объектов. Dim tmgArray ' An FPCArray object Dim webListener ' An FPCWebListener object Dim text ' A String Dim input ' A String ' Получение ссылки на локальный объект массива. Set tmgArray = root.GetContainingArray() ' Получение ссылки на указанный веб-прослушиватель. On Error Resume Next Set webListener = _ tmgArray.RuleElements.WebListeners.Item(wlName) If Err.Number = Error_FileNotFound Then WScript.Echo _ "Указанный веб-прослушиватель не может быть найден." Else Err.Clear On Error GoTo 0 With webListener.Properties If .SSLAcceleratorPort = 0 Then text = "Не настроено ни одного порта SSL-ускорителя." _ & VbCrLf _ & "Введите ненулевое значение, чтобы активировать" _ & VbCrLf _ & "порт SSL-ускорителя." Else text = "Текущий порт SSL-ускорителя: " _ & .SSLAcceleratorPort _ & VbCrLf _ & "Вы можете изменить это значение или введите 0," _ & VbCrLf _ & "чтобы деактивировать порт SSL-ускорителя." End If input = InputBox(text,"Порт SSL-ускорителя", "443") End With If CInt(input) <> _ webListener.Properties.SSLAcceleratorPort Then WScript.Echo "Изменение порта SSL-ускорителя на " _ & CInt(input) & "..." webListener.Properties.SSLAcceleratorPort = CInt(input) End If If webListener.Properties.SSLAcceleratorPort <> 0 Then WScript.Echo "Проверка, что порт SSL-ускорителя установлен на 0..." webListener.Properties.SSLPort = 0 End If webListener.Save End If End Sub Sub Usage() WScript.Echo "Usage:" & VbCrLf _ & " CScript " & WScript.ScriptName & " WebListener" _ & VbCrLf & "" & VbCrLf _ & " WebListener - Name of the Web listener" WScript.Quit End Sub

Копировать код

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 
' © Корпорация Майкрософт (Microsoft Corporation) Все права защищены.
' ДАННЫЙ КОД ПРЕДОСТАВЛЯЕТСЯ БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ. 
' ВСЯ ОТВЕТСТВЕННОСТЬ ЗА ИСПОЛЬЗОВАНИЕ И ПОСЛЕДСТВИЯ ИСПОЛЬЗОВАНИЯ ДАННОГО 
' КОДА ЛЕЖИТ НА ПОЛЬЗОВАТЕЛЕ. ПОЭТОМУ ИСПОЛЬЗОВАНИЕ И ПЕРЕДАЧА ЭТОГО КОДА, 
' С ИЗМЕНЕНИЯМИ ИЛИ БЕЗ ТАКОВЫХ, РАЗРЕШЕНЫ.
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

Option Explicit 

' Определение необходимой константы 
const Error_FileNotFound = &H80070002 

Main(WScript.Arguments) 

Sub Main(args) 
	If(args.Count = 1) Then 
		SetSslAcceleratorPort args(0) 
	Else Usage() 
	End If 
End Sub 

Sub SetSslAcceleratorPort(wlName) 

	' Создание корневого объекта. 
	Dim root ' The FPCLib.FPC root object 
	Set root = CreateObject("FPC.Root") 

	' Объявление других необходимых объектов. 
	Dim tmgArray		' An FPCArray object 
	Dim webListener	 ' An FPCWebListener object 
	Dim text			' A String 
	Dim input		 ' A String 

	' Получение ссылки на локальный объект массива. 
	Set tmgArray = root.GetContainingArray() 

	' Получение ссылки на указанный веб-прослушиватель. 
	On Error Resume Next 
	Set webListener = _ 
		tmgArray.RuleElements.WebListeners.Item(wlName) 
	If Err.Number = Error_FileNotFound Then 
		WScript.Echo _ 
			"Указанный веб-прослушиватель не может быть найден." 
	Else 
		Err.Clear 
		On Error GoTo 0 
		With webListener.Properties 
			If .SSLAcceleratorPort = 0 Then 
				text = "Не настроено ни одного порта SSL-ускорителя." _ 
					 & VbCrLf _ 
					 & "Введите ненулевое значение, чтобы активировать" _ 
					 & VbCrLf _ 
					 & "порт SSL-ускорителя." 
			Else 
				text = "Текущий порт SSL-ускорителя: " _ 
					 & .SSLAcceleratorPort _ 
					 & VbCrLf _ 
					 & "Вы можете изменить это значение или введите 0," _ 
					 & VbCrLf _ 
					 & "чтобы деактивировать порт SSL-ускорителя." 
			End If 
			input = InputBox(text,"Порт SSL-ускорителя", "443") 
		End With 
		If CInt(input) <> _ 
			webListener.Properties.SSLAcceleratorPort Then 
			WScript.Echo "Изменение порта SSL-ускорителя на " _ 
				& CInt(input) & "..." 
			webListener.Properties.SSLAcceleratorPort = CInt(input) 
		End If 
		If webListener.Properties.SSLAcceleratorPort <> 0 Then 
			WScript.Echo "Проверка, что порт SSL-ускорителя установлен на 0..." 
			webListener.Properties.SSLPort = 0 
		End If 
		webListener.Save 
	End If 
End Sub 

Sub Usage() 
	WScript.Echo "Usage:" & VbCrLf _ 
		& " CScript " & WScript.ScriptName & " WebListener" _ 
		& VbCrLf & "" & VbCrLf _ 
		& " WebListener - Name of the Web listener" 
	WScript.Quit 
End Sub

Примечание.
Если перед Forefront TMG установлено устройство SSL-ускорителя, весь веб-трафик перехватывается устройством и передается на Forefront TMG. Когда устройство получает HTTPS-трафик от клиента, оно завершает SSL-подключение к устройству, расшифровывает трафик и передает его как HTTP на Forefront TMG, который обычно получает трафик на порт 80. Эта процедура настраивает Forefront TMG на распознавание SSL-ускорителя между ним и сетью Интернет. Также эта процедура настраивает Forefront TMG на отправку ответов на правильный порт на SSL-ускорителе и предоставление HTTPS-ссылок в ответе, возвращаемом SSL-ускорителем. Если HTTPS-запросы от клиента являются запросами веб-клиента Microsoft Outlook, Forefront TMG автоматически присваивает заголовок, указывающий серверу веб-клиента Outlook, что ему следует возвратить HTTPS-ответ. Это происходит независимо от того, был ли Forefront TMG настроен на работу за SSL-ускорителем. Эта процедура применима только для внешнего SSL-ускорителя, соединенного с сетью Интернет и находящегося перед компьютером Forefront TMG, который взаимодействует с ней через сетевое подключение. Если на компьютере Forefront TMG или на внешнем устройстве, подключенном к компьютеру Forefront TMG с помощью SCSI, установлена карта SSL-ускорителя, не требуется вносить изменения в какие-либо настройки в Forefront TMG. Веб-прослушиватель должен прослушивать HHTP-запросы по отдельному IP-адресу, по которому никакой другой веб-прослушиватель не прослушивает HHTP-запросы. Для этого необходим либо дополнительный IP-адрес на сетевой плате, подключенной к внешней сети, или отдельная сетевая плата для SSL-ускорителя. При использовании отдельной сетевой платы необходимо определить новую сеть, содержащую SSL-ускоритель, и настроить веб-прослушиватель на прослушивание в этой сети. Если ваш SSL-ускоритель подключен к Интернету, имя SSL-сертификата сервера должно соответствовать внешнему имени узла или IP-адресу, который внешние клиенты будут вводить в своем обозревателе, чтобы получить доступ к опубликованному веб-узлу. Порт, на который Forefront TMG возвращает ответы для внешнего устройства SSL-ускорителя, расположенного перед Forefront TMG, не может быть задан с помощью консоли управления Forefront TMG. Приведенный сценарий также обеспечивает отключение HTTPS-прослушивания на веб-прослушивателе.

Примечание.

Если перед Forefront TMG установлено устройство SSL-ускорителя, весь веб-трафик перехватывается устройством и передается на Forefront TMG. Когда устройство получает HTTPS-трафик от клиента, оно завершает SSL-подключение к устройству, расшифровывает трафик и передает его как HTTP на Forefront TMG, который обычно получает трафик на порт 80. Эта процедура настраивает Forefront TMG на распознавание SSL-ускорителя между ним и сетью Интернет. Также эта процедура настраивает Forefront TMG на отправку ответов на правильный порт на SSL-ускорителе и предоставление HTTPS-ссылок в ответе, возвращаемом SSL-ускорителем.
Если HTTPS-запросы от клиента являются запросами веб-клиента Microsoft Outlook, Forefront TMG автоматически присваивает заголовок, указывающий серверу веб-клиента Outlook, что ему следует возвратить HTTPS-ответ. Это происходит независимо от того, был ли Forefront TMG настроен на работу за SSL-ускорителем.
Эта процедура применима только для внешнего SSL-ускорителя, соединенного с сетью Интернет и находящегося перед компьютером Forefront TMG, который взаимодействует с ней через сетевое подключение. Если на компьютере Forefront TMG или на внешнем устройстве, подключенном к компьютеру Forefront TMG с помощью SCSI, установлена карта SSL-ускорителя, не требуется вносить изменения в какие-либо настройки в Forefront TMG.
Веб-прослушиватель должен прослушивать HHTP-запросы по отдельному IP-адресу, по которому никакой другой веб-прослушиватель не прослушивает HHTP-запросы. Для этого необходим либо дополнительный IP-адрес на сетевой плате, подключенной к внешней сети, или отдельная сетевая плата для SSL-ускорителя. При использовании отдельной сетевой платы необходимо определить новую сеть, содержащую SSL-ускоритель, и настроить веб-прослушиватель на прослушивание в этой сети.
Если ваш SSL-ускоритель подключен к Интернету, имя SSL-сертификата сервера должно соответствовать внешнему имени узла или IP-адресу, который внешние клиенты будут вводить в своем обозревателе, чтобы получить доступ к опубликованному веб-узлу.
Порт, на который Forefront TMG возвращает ответы для внешнего устройства SSL-ускорителя, расположенного перед Forefront TMG, не может быть задан с помощью консоли управления Forefront TMG. Приведенный сценарий также обеспечивает отключение HTTPS-прослушивания на веб-прослушивателе.

См. также

Основные понятия

Публикация веб-серверов через HTTPS