4
RDS-Gateway, Zertifikat Externe IP
Hallo zusammen,
Folgendes Szenario:
Setup:
Server 2019 RDS-Gateway
Server 2019 RDS-Broker
2x Server 2019 RDS-SH
SSL *.domain Zertifikat
RDS-SHs werden über eine Externe IP angesprochen (Natting) -> Kein DNS möglich (Clients können nicht mit unserem DNS sprechen - Extern)
Wir bräuchten somit ein Zertifikat welches unsere externe IP innehält (Kein DNS).
Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?
Grüße Meow!
Folgendes Szenario:
Setup:
Server 2019 RDS-Gateway
Server 2019 RDS-Broker
2x Server 2019 RDS-SH
SSL *.domain Zertifikat
RDS-SHs werden über eine Externe IP angesprochen (Natting) -> Kein DNS möglich (Clients können nicht mit unserem DNS sprechen - Extern)
Wir bräuchten somit ein Zertifikat welches unsere externe IP innehält (Kein DNS).
Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?
Grüße Meow!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 9342479401
Url: https://administrator.de/contentid/9342479401
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
klingt merkwürdig.
Normalerweise spricht man den Broker an, der einen auf einen SH verweist.
Ergänzung
Du kannst Dir mit einer dreckigen Lösung helfen:
Lösche das Zertifikat aus der rdp-Datei raus. Dann kriegste ne Warnung, aber keine Verbindungsverweigerung.
klingt merkwürdig.
Normalerweise spricht man den Broker an, der einen auf einen SH verweist.
Ergänzung
Du kannst Dir mit einer dreckigen Lösung helfen:
Lösche das Zertifikat aus der rdp-Datei raus. Dann kriegste ne Warnung, aber keine Verbindungsverweigerung.
Moin,
Gruß,
Dani
Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?
die Möglichkeit bieten eigentlich alle großen CAs an. Einfach vor ab mit eurer CA sprechen und die Rahmenbedingungen abklären. Neues Zertifikat anfordern, installieren und gut ist.Gruß,
Dani
Je nach CA sollte das kein Problem sein.
Let´s Encrypt bietet das allerdings so weitr ich weiß nicht an.
Let´s Encrypt bietet das allerdings so weitr ich weiß nicht an.
Moin,
Verstehe euer Problem nicht.
Ihr habt eine öffentliche Domain „myBusiness.com“
An eurem WAN-Anschluss habt ihr eh schon ne feste IP: 123.123.123.123
Bei eurem DNS-Provider (nicht der interne Server):
A-Record „portal.mybusiness.com“ auf die 123.123.123.123 zeigen lassen.
An eurer Firewall das Wildcard-Zertifikat installieren.
Zudem wäre dort ein Reverseproxy (mindestens!) sinnvoll. Besser noch einen Dienst hinzufügen, der eine MFA bereitstellt.
Intern über ne eigene CA ein SAN-Zertifikat für den internen Namen des SessionBrokers (und portal.mybusiness.com) ausstellen lassen und am sessionbroker verteilen. Zudem noch eine neue DNS-Zone „portal.mybusiness.com“ anlegen, die auf die IP des SessionBrokers zeigt.
Somit müssen sich eure User nur „Portal.mybusiness.com“ merken, egal ob intern oder extern unterwegs
Verstehe euer Problem nicht.
Ihr habt eine öffentliche Domain „myBusiness.com“
An eurem WAN-Anschluss habt ihr eh schon ne feste IP: 123.123.123.123
Bei eurem DNS-Provider (nicht der interne Server):
A-Record „portal.mybusiness.com“ auf die 123.123.123.123 zeigen lassen.
An eurer Firewall das Wildcard-Zertifikat installieren.
Zudem wäre dort ein Reverseproxy (mindestens!) sinnvoll. Besser noch einen Dienst hinzufügen, der eine MFA bereitstellt.
Intern über ne eigene CA ein SAN-Zertifikat für den internen Namen des SessionBrokers (und portal.mybusiness.com) ausstellen lassen und am sessionbroker verteilen. Zudem noch eine neue DNS-Zone „portal.mybusiness.com“ anlegen, die auf die IP des SessionBrokers zeigt.
Somit müssen sich eure User nur „Portal.mybusiness.com“ merken, egal ob intern oder extern unterwegs
1
