4
RDS-Gateway, Zertifikat Externe IP
Hallo zusammen,
Folgendes Szenario:
Setup:
Server 2019 RDS-Gateway
Server 2019 RDS-Broker
2x Server 2019 RDS-SH
SSL *.domain Zertifikat
RDS-SHs werden über eine Externe IP angesprochen (Natting) -> Kein DNS möglich (Clients können nicht mit unserem DNS sprechen - Extern)
Wir bräuchten somit ein Zertifikat welches unsere externe IP innehält (Kein DNS).
Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?
Grüße Meow!
Folgendes Szenario:
Setup:
Server 2019 RDS-Gateway
Server 2019 RDS-Broker
2x Server 2019 RDS-SH
SSL *.domain Zertifikat
RDS-SHs werden über eine Externe IP angesprochen (Natting) -> Kein DNS möglich (Clients können nicht mit unserem DNS sprechen - Extern)
Wir bräuchten somit ein Zertifikat welches unsere externe IP innehält (Kein DNS).
Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?
Grüße Meow!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 9342479401
Url: https://administrator.de/contentid/9342479401
Printed on: May 2, 2024 at 07:05 o'clock
4 Comments
Latest comment
Moin,
klingt merkwürdig.
Normalerweise spricht man den Broker an, der einen auf einen SH verweist.
Ergänzung
Du kannst Dir mit einer dreckigen Lösung helfen:
Lösche das Zertifikat aus der rdp-Datei raus. Dann kriegste ne Warnung, aber keine Verbindungsverweigerung.
klingt merkwürdig.
Normalerweise spricht man den Broker an, der einen auf einen SH verweist.
Ergänzung
Du kannst Dir mit einer dreckigen Lösung helfen:
Lösche das Zertifikat aus der rdp-Datei raus. Dann kriegste ne Warnung, aber keine Verbindungsverweigerung.
Moin,
Gruß,
Dani
Hat jemand von euch ein ähnliches Setup oder eine Idee wie wir es realieren können, ohne das wir self signed nutzen?
die Möglichkeit bieten eigentlich alle großen CAs an. Einfach vor ab mit eurer CA sprechen und die Rahmenbedingungen abklären. Neues Zertifikat anfordern, installieren und gut ist.Gruß,
Dani
Je nach CA sollte das kein Problem sein.
Let´s Encrypt bietet das allerdings so weitr ich weiß nicht an.
Let´s Encrypt bietet das allerdings so weitr ich weiß nicht an.
Moin,
Verstehe euer Problem nicht.
Ihr habt eine öffentliche Domain „myBusiness.com“
An eurem WAN-Anschluss habt ihr eh schon ne feste IP: 123.123.123.123
Bei eurem DNS-Provider (nicht der interne Server):
A-Record „portal.mybusiness.com“ auf die 123.123.123.123 zeigen lassen.
An eurer Firewall das Wildcard-Zertifikat installieren.
Zudem wäre dort ein Reverseproxy (mindestens!) sinnvoll. Besser noch einen Dienst hinzufügen, der eine MFA bereitstellt.
Intern über ne eigene CA ein SAN-Zertifikat für den internen Namen des SessionBrokers (und portal.mybusiness.com) ausstellen lassen und am sessionbroker verteilen. Zudem noch eine neue DNS-Zone „portal.mybusiness.com“ anlegen, die auf die IP des SessionBrokers zeigt.
Somit müssen sich eure User nur „Portal.mybusiness.com“ merken, egal ob intern oder extern unterwegs
Verstehe euer Problem nicht.
Ihr habt eine öffentliche Domain „myBusiness.com“
An eurem WAN-Anschluss habt ihr eh schon ne feste IP: 123.123.123.123
Bei eurem DNS-Provider (nicht der interne Server):
A-Record „portal.mybusiness.com“ auf die 123.123.123.123 zeigen lassen.
An eurer Firewall das Wildcard-Zertifikat installieren.
Zudem wäre dort ein Reverseproxy (mindestens!) sinnvoll. Besser noch einen Dienst hinzufügen, der eine MFA bereitstellt.
Intern über ne eigene CA ein SAN-Zertifikat für den internen Namen des SessionBrokers (und portal.mybusiness.com) ausstellen lassen und am sessionbroker verteilen. Zudem noch eine neue DNS-Zone „portal.mybusiness.com“ anlegen, die auf die IP des SessionBrokers zeigt.
Somit müssen sich eure User nur „Portal.mybusiness.com“ merken, egal ob intern oder extern unterwegs
1
