[CT07] Estendendo portas SSL no ISA Server 2004_2006_TMG

Introdução

Certa vez um usuário se queixou que ao tentar acessar um site seguro (SSL) utilizando a porta 2083 uma página em branco era exibida e o mesmo não conseguia abrir a página. O endereço HTTPS que o usuário estava usando era publicado em uma porta diferente do padrão SSL 443, ao invés disso era: 2083. Exemplo do endereço que usuário tentou acessar:
https://box463.bluehost.com:2083/login/ ao invés de https://box463.bluehost.com/login/

Aplica-se a:

  • Microsoft ISA Server 2004, 2006 e Forefront TMG 2010

Solução

Será necessário estender a porta padrão SSL do TMG. Para este procedimento fiz o download do utilitário do seguinte endereço http://www.isatools.org/tools/isa_tpr.js.

1. A Figura 01 ilustra o erro apresentado ao tentar acessar a url https://box463.bluehost.com:2083/login/

image
Figura 01:Tela de erro apresentado ao acessar o site.

2. Diante do erro mostrado na figura acima, para entender melhor o problema monitorei o IP do Cliente no Forefront TMG para ver se algum erro era mostrado e eis que surgiu a informação necessária para dar prosseguimento na resolução do problema:

image
Figura 02:Monitorando o IP do Cliente.

Efetuando Download do isa_tpr

1. Efetue o download da ferramenta para estender a porta SSL http://www.isatools.org/tools/isa_tpr.js.
2. Salve em algum diretório em seu servidor, no meu caso salvei em f:\tools\.
3. Todo procedimento será efetuado via linha de comando usando o prompt de comando, você precisará executar como administrador, caso contrário não será possível efetuar as alterações necessárias:

image
Figura 03:
Executando o prompt.

4. Após executar o prompt de comando como administrador, vá ate o diretório que você salvou o arquivo (no meu caso E:\tools\). Como todo curioso que se preze, digite o nome do arquivo isa_tpr.js /? Para saber todos os parâmetros que podem ser usados:

image
Figura 04:
Listando os parâmetros disponíveis.

5. Para listar as portas existentes digite o seguinte comando: cscript isa_tpr.js /show

image
Figura 05:
Listando as portas.

6. Para criar a porta estendida SSL digite o seguinte comando: cscript isa_tpr.js /add SSL2083 2083 (usei a nomenclatura SSL2083 para servir como rótulo e 2083 foi a porta que precisava liberar). Logo em seguida digite cscript isa_tpr.js /show para verificar se foi criada a porta. Depois de ter verificado a criação da porta, é necessário reiniciar o serviço Microsoft Firewall para as configurações entrarem em vigor.

image
Figura 06:Criando a porta e verificando se foi criado com sucesso.

7. Reiniciando o Serviço Microsoft Firewall.

image
Figura 07:
Reiniciando serviço.

8. Se até aqui tudo ocorreu como manda o figurino, chegou a hora de fazer o teste de acesso.

Nota: Lembrando que a depender das políticas criadas no seu Forefront TMG, será necessário criar um protocolo para esta porta estendida em seu servidor, no meu caso criei um protocolo chamado HTTPS 2083 no sentindo Outbound (em outro tutorial ensinarei como criar protocolos no Forefront TMG) e adicionei junto à regra que permite acesso a web para os usuários internos da empresa.

image
Figura 08:
Testando o acesso a url com a porta SSL estendida no Servidor Forefront TMG.

Conclusão

A solução mostrada permitiu o acesso a páginas seguras (SSL) que não usam a porta 443 como padrão. Neste caso foi realizado um processo de estender a porta SSL que com calma não é um procedimento difícil de realizar, basta ter paciência para entender o problema e ir atrás da solução.

Autor: Charles Santos Tavares

E-mail: charlestavares@hotmail.com
Blog: https://charlestavares.wordpress.com
Twitter: @charlesstavares

Sobre charlestavares
Nothing

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: