Estendendo portas SSL no ISA Server 2004_2006_TMG

Introdução

Certa vez um usuário se queixou que ao tentar acessar um site seguro (SSL) utilizando a porta 2083 uma página em branco era exibida e o mesmo não conseguia abrir a página. O endereço HTTPS que o usuário estava usando era publicado em uma porta diferente do padrão SSL 443, ao invés disso era: 2083. Exemplo do endereço que usuário tentou acessar
https://box463.bluehost.com:2083/login/ ao invés de https://box463.bluehost.com/login/

Aplica-se a:

  • Microsoft ISA Server 2004, 2006 e Forefront TMG 2010

Solução

Será necessário estender a porta padrão SSL do TMG. Para este procedimento fiz o download do utilitário do seguinte endereço http://www.isatools.org/tools/isa_tpr.js  

NOVO LINK [Link corrigido com ajuda do amigo Leonardo Francisco Samá].

 

1. A Figura 01 ilustra o erro apresentado ao tentar acessar a url https://box463.bluehost.com:2083/login/

2. Diante do erro mostrado na figura acimapara entender melhor o problema monitorei o IP do Cliente no Forefront TMG para ver se algum erro era mostrado e eis que surgiu a informação necessária para dar prosseguimento na resolução do problema:

Efetuando Download do isa_tpr

1. Efetue o download da ferramenta para estender a porta SSL http://www.isatools.org/tools/isa_tpr.js.
2. Salve em algum diretório em seu servidor, no meu caso salvei em f:\tools\.
3. Todo procedimento será efetuado via linha de comando usando o prompt de comandovocê precisará executar como administradorcaso contrário não será possível efetuar as alterações necessárias:

Figura 03: Executando o prompt.

4. Após executar o prompt de comando como administrador, vá ate o diretório que você salvou o arquivo (no meu caso E:\tools\). Como todo curioso que se preze, digite o nome do arquivo isa_tpr.js /? Para saber todos os parâmetros que podem ser usados:

Figura 04: Listando os parâmetros disponíveis.

5. Para listar as portas existentes digite o seguinte comandocscript isa_tpr.js /show

Figura 05: Listando as portas.

6. Para criar a porta estendida SSL digite o seguinte comandocscript isa_tpr.js /add SSL2083 2083 (usei a nomenclatura SSL2083 para servir como rótulo e 2083 foi a porta que precisava liberar). Logo em seguida digite cscript isa_tpr.js /show para verificar se foi criada a porta. Depois de ter verificado a criação da porta, é necessário reiniciar o serviço Microsoft Firewall para as configurações entrarem em vigor.

Figura 06:Criando a porta e verificando se foi criado com sucesso.

7. Reiniciando o Serviço Microsoft Firewall.

Figura 07: Reiniciando serviço.

8. Se até aqui tudo ocorreu como manda o figurino, chegou a hora de fazer o teste de acesso.

Nota: Lembrando que a depender das políticas criadas no seu Forefront TMGserá necessário criar um protocolo para esta porta estendida em seu servidor, no meu caso criei um protocolo chamado HTTPS 2083 no sentindo Outbound (em outro tutorial ensinarei como criar protocolos no Forefront TMG) e adicionei junto à regra que permite acesso a web para os usuários internos da empresa.

Figura 08: Testando o acesso a url com a porta SSL estendida no Servidor Forefront TMG.

Conclusão

A solução mostrada permitiu o acesso a páginas seguras (SSL) que não usam a porta 443 como padrão. Neste caso foi realizado um processo de estender a porta SSL que com calma não é um procedimento difícil de realizar, basta ter paciência para entender o problema e ir atrás da solução.

Autor: Charles Santos Tavares

Fonte: http://charlestavares.wordpress.com/

.