Utilizzare i Certificati wildcard per pubblicare via SSL più siti Web

In questo articolo vedremo come utilizzare ISA Server 2006 per pubblicare via SSL più siti web interni con un solo web listener ed una sola web publishing rule.

ISA Server 2006 sarà configurato in maniera tale che la comunicazione su Internet sia protetta mediante l'uso di HTTPS, mentre la comunicazione in LAN con i server Web - in particolare fra ISA ed il server Web pubblicato - avvenga via HTTP.
I siti web a cui gli utenti Internet avranno accesso sono:

https://intranet.corp.isaserver.it ed anche https://www.corp.isaserver.it

Gli hostname www e intranet sono creati nella zona primaria corp.isaserver.it in hosting su un server DNS pubblico.

Scenario:
Dominio: corp.isaserver.it
JMP-DC:  Domain Controller, DNS Server
JMP-ISA:ISA Server 2006 Standard in configurazione Edge
JMP-MAIL: Web server

Sul JMP-MAIL sono in esecuzione i seguenti siti Web:

• intranet.corp.isaserver.it
• www.corp.isaserver.it

Nota: in questo articolo non vedremo la generazione del certificato digitale del tipo *.corp.isaserver.it e la sua installazione su ISA Server 2006. Sarà oggetto di un nuovo articolo.

Per raggiungere il nostro obiettivo dobbiamo per prima cosa creare un Web listener.

CREAIMO UN WEB LISTENER PER HTTPS
Lanciamo la consolle di amministrazione di ISA Server 2006 e facciamo clic sul nodo Firewall Policy. Dopodiché, nella sezione Toolbox selezioniamo Netwrok Objects e poi la cartella Web Listeners. Con il tasto destro del mouse selezioniamo New Web Listener.... Creiamo un Web listener con le seguenti caratteristiche:

Name: Secure Listener
Client connection: Secure (SSL/HTTPS)
Listen on: External
Client Authentication Method: No Authentication
SSO Enabled: No

 
Applichiamo le modifiche per salvare il Web listener che abbiamo appena creato.

 
Se non abbiamo commesso errori vedremo il nostro Secure Listener nell'elenco dei Web listeners.


Completata questa operazione possiamo passare alla pubblicazione dei siti web interni in hosting su JMP-MAIL.

PUBBLICHIAMO I SERVER WEB
Dalla Consolle di gestione di ISA Server 2006, lanciamo il wizard per la pubblicazione di un server web; nella  sezione dei Tasks selezionare Publish Web sites.

 
seguiamo le istruzione del wizard ed inseriamo i seguenti valori:

Name: Secure Web Sites Publishing
Action: Allow
Publishing Type: Publish a single Web site
Connect the published Web server using HTTPS: No
Site: jmp-mail.corp.isaserver.it
Public Name: All incoming names
Listener: Secure Listener
Accepted user sets: All users

Importante: Durante la creazione della regola Secure Web Sites Publishing , nella sezione Internal Publishing Details, è necessario selezionare la voce Forward the original host header instead of the actual one specified.... Di default questa voce non è selezionata.


In caso contrario verrà inviato al server web interno l'host header jmp-isa.corp.isaserver.it, impedendo così un corretto indirizzamento da parte di IIS al sito web corretto.

Salviamo la configurazione in ISA Server 2006 Standard Edition facendo clic su Apply.

A questo punto vedremo la nuova publishing rule nella Firewall Policy di ISA Server 2006.

 
La configurazione è completata. Verifichiamo che tutto funzioni correttamente collegandoci da un client Internet ai due siti Internet pubblicati.

ACCESSO DA INTERNET AL SITO WEB  intranet.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://intranet.corp.isaserver.it. 

 
vediamo di seguito cosa ha registrato ISA Server 2006 nei log


Nota: In rosso è evidenziata la prima connessione fra il client Internet e ISA Server sulla porta 443, in blu la prima connessione fra ISA ed il server web interno sulla porta 80, in verde la connessione fra il client Internet ed il server web con ISA che fa da gateway con HTTS per la comunicazione su Internet e HTTP per la comunicazione con il server web interno.

ACCESSO DA INTERNET AL SITO WEB  www.corp.isaserver.it
Da un client Internet lanciamo il browser ed inseriamo nella barra degli indirizzi la URL: https://www.corp.isaserver.it. 

Anche in questo caso abbiamo avuto accesso dal nostro client Internet  al nostro server web interno, comunicando via HTTPS su Internet, ed utilizzando HTTP fra ISA ed il server Web.

Conclusioni:
Utilizzando un certificato digitale installato su ISA Server 2006 con FQDN  *.dominio Internet pubblico, possiamo pubblicare, utilizzando le indicazioni di questo articolo quanti siti web vogliamo, garantendo che l'accesso pubblico sia protetto via SSL. Tutti i siti web devono essere ospitati sullo stesso server web, in questo caso era jmp-isa. Il reindirizzamento verso il sito web corretto viene operato da IIS, non da ISA Server 2006, sfruttando le informazioni contenute nell'host header inserito dall'utente nel campo indirizzo del proprio browser.

Per domande, approfondimenti e commenti, il luogo ideale è il forum di ISAServer.it

Buon lavoro con ISAServer.it