SNI vs RDG
IIS 8 oferuję implementację fajnej funkcjonalności o trzyliterowym skrócie SNI. SNI – Server Name Indication w dużym uproszczeniu tłumacząc pozwala w IIS wystawić wiele stron z różnymi certyfikatami SSL na jednym IP i tym samym porcie. Zainteresowanych większą ilością szczegółów zapraszam do wpisu Grześka na ten temat - http://blogs.technet.com/b/plitpromicrosoftcom/archive/2012/12/14/https-po-nowemu.aspx.
RDG - następny skrót w tytule notki. RDG to Remote Desktop Gateway, czyli funkcja roli terminalowych w Windows Server pozwalająca opakować ruch RDP w https i zastosować, jako bramę do połączeń z rdp z Internetu na przykład.
Mając te dwie wspaniałe technologie stwierdziłem, że doprowadzę do ich połączenia na moim domowym serwerku. Akurat mam tylko jedno publiczne IP, a chcę używać paru różnych certyfikatów do paru rzeczy, które trzymam u siebie na IIS.
Po instalacji RDG wraz z IIS i skonfigurowaniu certyfikatu dla RDG, mapowania na IIS wyglądają tak:
No to teraz na mapowaniu na https włączymy SNI. Konfiguracja mapowania będzie wyglądać tak w edycji.
Wszystko skonfigurowane, więc spróbujmy się połączyć. Przy próbie połączenia z Windows 8 (klient rdp w wersji 8):
Z Windows 7 (klient rdp w wersji 7) mamy już bardziej czytelny komunikat:
Po wejściu w konsolę RDG wspaniały komunikat o braku skonfigurowanego certyfikatu, mimo, że go wcześniej skonfigurowałem.
To trzy kliknięcia i certyfikat na nowo skonfigurowany w RDG, a w mapowaniu IIS mamy taki piękny kwiatek:
Podsumowując krótko: Remote Desktop Gateway z Server Name Indication nie działa i mapowanie certyfikatu w IIS musi być bez włączonego SNI, czyli jako certyfikat domyślny.
Na plus w nowym RDG jest możliwość zmiany portu z domyślnego 443, ale to już na inny wpis.
PS. W ramach zabaw z SNI poleci niedługo na warsztat SNI vs SSTP.