%20SSL-Proxying%20durchf%C3%BChren%3F.png)
Mein Team wurde gebeten, einem Projekt, an dem wir arbeiten, eine neue Funktion hinzuzufügen, und keiner von uns kann verbindliche Angaben dazu finden, ob dies mit Windows/IIS möglich ist.
Kurz gesagt hoffen wir, dass unsere Kunden ihre DNS mit einem CNAME-Eintrag aktualisieren, um ihre Website auf unseren Server statt auf ihren zu verweisen (die Gründe dafür sind trivial – es geht darum, was die App im Auftrag Ihrer Site tut).
Wir verwenden einen Reverse-Proxy mit mehreren benutzerdefinierten Modulen, um bestimmte Inhalte von den Originalservern bereitzustellen. Bisher funktioniert alles einwandfrei, bis wir auf SSL stoßen.
Gibt es eine Möglichkeit, IIS dazu zu bringen, ein SSL-Zertifikat von einem anderen Server bereitzustellen?Mit anderen Worten: Gibt es eine Möglichkeit, ein vertrauenswürdiger Mann in der Mitte zu sein?
Ich hoffe, dass das möglich ist, damit wir nicht von allen unseren Kunden verlangen müssen, ihre SSL-Zertifikate neu auszustellen. Ehrlich gesagt wollen wir nicht Hunderte von Zertifikaten verwalten müssen. Ich würde auch gerne eine UCC-Situation vermeiden, wenn es eine Möglichkeit gibt, denn dann muss das Zertifikat anscheinend jedes Mal neu erstellt werden, wenn ein Kunde hinzugefügt wird.
Also, alle Hinweise zum Proxying/Hosting von SSL (oder sogar dynamisches SSL-Hosting wiehttp://www.globalsign.com/cloud/) wäre dankbar.
Antwort1
Microsoft TMG kann dies. Es fungiert als MITM, indem es das echte Zertifikat für die Internetseite der Anfrage bereitstellt, es entschlüsselt und es dann mit einem vertrauenswürdigen internen Zertifikat für die lokale Seite der Anfrage neu signiert. Sie signieren dann auch Ihren lokalen internen Webserver mit eineminternZertifikat und überlassen Sie TMG die Signierung der öffentlichen Anfrage.
Auf diese Weise können Sie TMG veranlassen, die Anfrage beim Eintreffen zu prüfen und sie per Reverse-Proxy an den richtigen Speicherort weiterzuleiten.
Ich weiß allerdings nicht genau, wie hilfreich das für Ihre Situation ist.