Forefront TMG Beta3: отчет о 3-х месячном тестировании

Доступ к ssl-сайтам и обзор проверки ssl-трафика

Теперь давайте посмотрим, что происходит, когда клиент пытается соединиться с SSL-сайтом. На клиенте Vista SP1 я попробую установить соединение со своим аккаунтом на hotmail. После входа всплывает сообщение, аналогичное показанному на рисунке ниже. Вот текст сообщения:

Исправление проблем с crl

Я уже упоминал о проблеме CRL. Когда SSTP VPN клиент создает подключение, он будет проверять CRL на предмет отзыва сертификата веб сайта. Расположение CRL включено в сертификат, как показано на рисунке ниже.

Некоторые пояснения по топологии

Эта топология 3-Leg Perimeter, «ног» у нее, конечно, больше, но сути это не меняет.

Отдельно выделена гостевая сеть, подключение к которой возможно по Wi-Fi, она создана для мобильных пользователей и гостей. Во внутреннюю сеть доступа она не имеет, ограничиваясь корпоративным порталом, OWA и доступом в Интернет.Внутренняя сеть сегментирована на сеть Datacenter Network, где располагаются сервера, и сеть Internal Network, к которой подключены компьютеры пользователей.

В сети Perimeter Network расположены Web сервера, которые публикуются в Интернет.

Внешние сети дополнительно защищены с помощью простых Packet-filtering межсетевых экранов, они обычно встроены в большинство точек доступа и DSL модемов. Это дополнительно ограждает сеть от различного сетевого мусора, и так же прячет сам TMG за NAT.

Не вижу смысла приводить снимки экрана при установке, следует заметить лишь то, что она прошла без проблем и не сильно отличалась от процедуры установки той же ISA.

Мои основные клиенты относятся к сегменту small and medium business, поэтому тестирование проводилось относительно применения TMG именно в этом сегменте, для этого был выбран TMG Standard Edition, который обычно в небольших компаниях устанавливается в одном экземпляре.

Тестовая конфигурация виртуальной машины:

Windows Server 2008 Ent. 64-bit SP2, TMG Standard Edition, 2 GB RAM. Данный сервер в домен вводить не планировалось, TMG был установлен в workgroup mode.

Про сертификаты:  Systemair K 100 EC sileo купить с установкой, характеристики и описание

Резюме

E-mail Protection. Фактически, эта опция является лишь оснасткой, интегрированной в консоль управления TMG сервера. Да, это удобно, облегчает конфигурирование и мониторинг, сводя все в одно место, но непосредственно функции защиты почты реализуются с помощью установки дополнительного ПО.

Создание сертификата веб приемника sstp web listener

TMG использует веб приемник (Web Listener) для принятия подключений от SSTP VPN клиентов. Это слегка усложняет дело. Веб приемник SSTP требует присвоения ему сертификата. Это означает, что вам нужно выделить IP адрес для веб приемника SSTP в большинстве ситуаций.

Причина этого заключается в том, что веб приемник SSTP не требует проверки подлинности. Он не только не требует проверки подлинности, вы не сможете принудительно внедрить аутентификацию на этом веб приемнике. По этой причине вы вряд ли будете использовать тот же веб приемник для правила веб публикации (Web Publishing Rule). Таким образом, следует запланировать выделение IP адреса на внешнем интерфейсе брандмауэра TMG для SSTP приемника.

Следующая проблема, с которой нам предстоит разобраться, представляет собой собственно получение сертификата. Во времена Windows 2003 получение сертификата с сайта подачи заявок через интернет было простым делом. Однако все изменилось с выходом Windows Server 2008, и если вы думаете, что сможете использовать сайт подачи заявок через интернет для получения сертификата веб сайта для приемника SSTP, вы будете сильно разочарованы. Просто ради интереса можете попробовать. Однако не стоит тратить слишком много времени на это, поскольку это не сработает.

Вам придется использовать другие способы получения сертификата. Для начала вам необходимо решить, какой тип сертификата вы хотите использовать:

  • Коммерческий сертификат (Commercial Certificate) – Коммерческий сертификат – это сертификат, который вы покупаете в платном центре сертификации. Преимущество платного сертификата состоит в том, что вам не нужно (так сильно) беспокоиться об установке ЦС сертификата в хранилище сертификатов доверенных центров сертификации (Trusted Root Certification Authorities) на клиентской машине. Недостатком таких сертификатов является то, что вам придется платить за них, и иногда с такими сертификатами возникают проблемы, которые сложно обнаружить и исправить.

  • Частный сертификат (Private Certificate) – частный сертификат – это сертификат, который вы создаете, используя собственную инфраструктуру открытых ключей (PKI). В большинстве случаев используется именно собственная PKI, имеющаяся в домене Windows. Преимуществом использования частных сертификатов является то, что вам не нужно платить за них (за исключением времени, которое требуется на создание PKI, а это может занимать достаточно много времени). Недостатком такого сертификата является то, что если ваши клиенты не являются членами домена, вам понадобится способ установки ЦС сертификатов в хранилище сертификатов корневого доверенного центра сертификации на машине клиента.

Про сертификаты:  Хопер – Деньги – Коммерсантъ

В этом примере я использую частный сертификат. Это означает, что мне придется сделать две вещи, чтобы все работало правильно:

Как на счет подробностей? Как вы требуете сертификат веб сайта? Мой врач говорит, что я должен снижать свое кровяное давление, поэтому я решил использовать мастера Windows Server 2003 IIS Web Site Certificate Request Wizard для получения сертификата.

Однако это лишь один из способов выполнения данной задачи. Существует масса других способов. Если у вас нет проблем с давлением или других проблем со здоровьем, которые не позволяют вам использовать командную строку, то настоятельно рекомендую вам использовать процедуру, описанную Джейсоном Джоунсом.

Сертификат, который я создал для веб приемника SSTP, показан на рисунке ниже. Общее имя сертификата будет vpn.msfirewall.org, а улучшенный ключ (Enhanced Key Usage) для аутентификации сервера (Server Authentication).

Получите сертификат веб сайта выбранным вами способом и скопируйте его на рабочий стол на брандмауэре TMG.

Установка клиента брандмауэра на клиентском компьютере

Клиент брандмауэра TMG требуется для оповещения клиента. Я не собираюсь подробно расписывать процесс установки клиента брандмауэра, поскольку вам доступны многочисленные руководства и средства автоматизации этого процесса. Вместо этого я хочу показать вам, где вы можете достать клиентское приложение TMG.

Установка сертификата веб приемника sstp

Следующим шагом будет установка сертификата веб сайта на брандмауэр TMG. Это простая часть. Выполните следующие шаги на брандмауэре TMG, чтобы установить сертификат:

  1. Нажмите Пуск и перейдите к Выполнить. В текстовом поле Открыть введите MMC и нажмите OK.

  2. В окне консоли Консоль1 перейдите в меню Файл и выберите опцию Добавить или удалить оснастку.

  3. В диалоговом окне Добавление или удаление оснастки выберите запись Сертификаты в разделе Доступные оснастки и нажмите Добавить.

  4. В диалоговом окне Оснастка сертификатов выберите опцию Учетная запись компьютера и нажмите Далее.

  5. В диалоговом окне Выбор компьютера выберите опцию Локальный компьютер и нажмите Закончить.

  6. Нажмите OK в диалоговом окне Добавление или удаление оснасток.

  7. В левой панели консоли разверните узел Сертификаты (Локальный компьютер) и перейдите в узел Личные. Теперь нажмите правой клавишей на узле Личные, наведите курсор на Все задачи и нажмите Импорт.

  8. Нажмите Далее на приветственной странице мастера импортирования сертификатов Welcome to the Certificate Import Wizard.

  9. На странице Импортируемый файл нажмите кнопку Обзор и найдите сертификат, который вы скопировали на рабочий стол. Имя файла появится в текстовом поле Имя файла после того, как вы выберете сертификат. Нажмите Далее.

  10. На странице Пароль введите пароль, который вы назначаете сертификату (если вы, конечно, назначаете сертификату пароль). Отметьте опцию Пометить этот ключ как экспортируемый (Mark this key as exportable), если хотите без проблем экспортировать этот сертификат в будущем. Это немногим менее безопасно, но большой опыт говорит мне, что если не выбрать эту опцию, то вы пожалеете об этом в будущем. Этот недостаток в безопасности чисто формальный, если вы придерживаетесь лучших методик во время настройки и управления брандмауэром. Нажмите Далее.

  11. Выберите опцию Помещать все сертификаты в следующее хранилище (Place all certificates in the following store) на странице Хранилище сертификатов. Личное (Personal) хранилище должно быть автоматически выбрано. Нажмите Далее.

  12. Нажмите Закончить на заключительной странице мастера импортирования сертификатов Completing the Certificate Import.

  13. Нажмите OK в диалоговом окне Импортирование успешно завершено.

Про сертификаты:  Документы - Биопирен-антисептик для древесины НОРТ Пирилакс-Терма 26 кг купить в ТехноНИКОЛЬ в Ростове-на-Дону, отзывы, характеристики, цена

Импортированный сертификат появится в окне консоли, подобно тому, что показано на рисунке ниже.

Убедитесь в том, что ЦС сертификат установлен в хранилище сертификатов корневого доверенного центра сертификации машины. Брандмауэр TMG, используемый в лабораторной сети, был настроен в качестве участника домена перед установкой ПО TMG, поэтому авторегистрация автоматически установила сертификат, поскольку я использовал производственный ЦС Windows Server 2003 Enterprise CA.

Оцените статью
Мой сертификат
Добавить комментарий