meowjayjay
Goto Top

RDS-Gateway, Zertifikat Externe IP

Hallo zusammen,

Folgendes Szenario:

Setup:

Server 2019 RDS-Gateway
Server 2019 RDS-Broker

2x Server 2019 RDS-SH


SSL *.domain Zertifikat


RDS-SHs werden über eine Externe IP angesprochen (Natting) -> Kein DNS möglich (Clients können nicht mit unserem DNS sprechen - Extern)

Wir bräuchten somit ein Zertifikat welches unsere externe IP innehält (Kein DNS).


Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?

Grüße Meow!

Content-ID: 9342479401

Url: https://administrator.de/forum/rds-gateway-zertifikat-externe-ip-9342479401.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 04.09.2023 aktualisiert um 11:50:47 Uhr
Goto Top
Moin,

klingt merkwürdig.
Normalerweise spricht man den Broker an, der einen auf einen SH verweist.

Ergänzung
Du kannst Dir mit einer dreckigen Lösung helfen:
Lösche das Zertifikat aus der rdp-Datei raus. Dann kriegste ne Warnung, aber keine Verbindungsverweigerung.
Dani
Dani 04.09.2023 aktualisiert um 12:39:39 Uhr
Goto Top
Moin,
Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?
die Möglichkeit bieten eigentlich alle großen CAs an. Einfach vor ab mit eurer CA sprechen und die Rahmenbedingungen abklären. Neues Zertifikat anfordern, installieren und gut ist.


Gruß,
Dani
Mr-Gustav
Mr-Gustav 04.09.2023 um 12:46:40 Uhr
Goto Top
Je nach CA sollte das kein Problem sein.
Let´s Encrypt bietet das allerdings so weitr ich weiß nicht an.
em-pie
Lösung em-pie 04.09.2023 um 22:01:04 Uhr
Goto Top
Moin,

Verstehe euer Problem nicht.

Ihr habt eine öffentliche Domain „myBusiness.com“

An eurem WAN-Anschluss habt ihr eh schon ne feste IP: 123.123.123.123

Bei eurem DNS-Provider (nicht der interne Server):
A-Record „portal.mybusiness.com“ auf die 123.123.123.123 zeigen lassen.

An eurer Firewall das Wildcard-Zertifikat installieren.
Zudem wäre dort ein Reverseproxy (mindestens!) sinnvoll. Besser noch einen Dienst hinzufügen, der eine MFA bereitstellt.


Intern über ne eigene CA ein SAN-Zertifikat für den internen Namen des SessionBrokers (und portal.mybusiness.com) ausstellen lassen und am sessionbroker verteilen. Zudem noch eine neue DNS-Zone „portal.mybusiness.com“ anlegen, die auf die IP des SessionBrokers zeigt.
Somit müssen sich eure User nur „Portal.mybusiness.com“ merken, egal ob intern oder extern unterwegs