SNI vs RDG

IIS 8 oferuję implementację fajnej funkcjonalności o trzyliterowym skrócie SNI. SNI – Server Name Indication w dużym uproszczeniu tłumacząc pozwala w IIS wystawić wiele stron z różnymi certyfikatami SSL na jednym IP i tym samym porcie. Zainteresowanych większą ilością szczegółów zapraszam do wpisu Grześka na ten temat - http://blogs.technet.com/b/plitpromicrosoftcom/archive/2012/12/14/https-po-nowemu.aspx.

RDG - następny skrót w tytule notki. RDG to Remote Desktop Gateway, czyli funkcja roli terminalowych w Windows Server pozwalająca opakować ruch RDP w https i zastosować, jako bramę do połączeń z rdp z Internetu na przykład.

Mając te dwie wspaniałe technologie stwierdziłem, że doprowadzę do ich połączenia na moim domowym serwerku. Akurat mam tylko jedno publiczne IP, a chcę używać paru różnych certyfikatów do paru rzeczy, które trzymam u siebie na IIS.

Po instalacji RDG wraz z IIS i skonfigurowaniu certyfikatu dla RDG, mapowania na IIS wyglądają tak:

clip_image002

No to teraz na mapowaniu na https włączymy SNI. Konfiguracja mapowania będzie wyglądać tak w edycji.

clip_image003

Wszystko skonfigurowane, więc spróbujmy się połączyć. Przy próbie połączenia z Windows 8 (klient rdp w wersji 8):

clip_image004

Z Windows 7 (klient rdp w wersji 7) mamy już bardziej czytelny komunikat:

clip_image005

Po wejściu w konsolę RDG wspaniały komunikat o braku skonfigurowanego certyfikatu, mimo, że go wcześniej skonfigurowałem.

clip_image007

To trzy kliknięcia i certyfikat na nowo skonfigurowany w RDG, a w mapowaniu IIS mamy taki piękny kwiatek:

clip_image009

Podsumowując krótko: Remote Desktop Gateway z Server Name Indication nie działa i mapowanie certyfikatu w IIS musi być bez włączonego SNI, czyli jako certyfikat domyślny.

Na plus w nowym RDG jest możliwość zmiany portu z domyślnego 443, ale to już na inny wpis.

PS. W ramach zabaw z SNI poleci niedługo na warsztat SNI vs SSTP.