Secure Gateway en double hop DMZ

asca · Novembre 12, 2012, 8:19

Bonjour ;

Je cherche désespérément à faire fonctionner une secure Gateway en double hop sur notre infra.

J’ai donc une machine (secure.toto.com) en DMZ publique avec la secure gateway 3.3 qui sécurise son traffic via un certificat SSL de chez COMODO. Il est important de préciser que le certificat est émis à mail.toto.com et que le secure.toto.com est un SAN de ce certificat.

j’ai ensuite dans ma DMZ privée le secure gateway proxy sur lequel j’ai installé dans le certificat de la SG.

J’ai toujours dans ma DZM privée la web interface en 5.4 avec là aussi le certificat installé.

Et j’ai dans mon LAN une machine srv-xenapp-test qui est aussi STA.

quand j’utilise l’outil de diagnostic sur la secure gateway, j’ai ce message dnas les logs du proxy secure gateway :

[Mon Nov 12 09:07:20 2012] [error] (OS 10054)Une connexion existante a dû être fermée par l’hôte distant. : Fail to perform Socks handshake. Unable to read initial request

[Mon Nov 12 09:07:20 2012] [error] Socks Session [3] failed Client IP [192.168.251.8]

Avez-vous une idée car j’ai parcouru les docs de Citrix et je ne vois plus trop quoi chercher …

Merci

legsam · Novembre 14, 2012, 8:51

Salut,

J’avais à l’époque également essayé d’utiliser un SAN Certificate sur une CSG sans succès et j’avais trouvé de mémoire que cela n’était pas possible (limitation CSG…).

En recherchant la CTX, je ne la retrouve pas mais tu as une réponse de Sam (un autre ici : http://forums.citrix.com/thread.jspa?threadID=313307

+

Sam

asca · Novembre 20, 2012, 9:46

Je commence à sécher

J’ai donc commander un certificat SSL dédié à CSG qui pointe vers applis.toto.com

J’ai donc ma CSG en DMZ public sur une machine qui s’appelle srv-ctx-gateway qui n’est pas dans mon domaine.

J’ai dans ma DZM privée, 2 machines : un CSG proxy et une machine qui sert pour la Web Interface. Ces deux machines sont dnas mon domaine Active Directory. Le STA est sur une machine qui est sur mon LAN et qui est dans le domaine Active Directory aussi.

Quand je pointe sur https://applis.toto.com alors j’ai un beau message d’erreur :

Bad Gateway!

The proxy server received an invalid response from an upstream server.

If you think this is a server error, please contact the webmaster.

Error 502
applis.toto.com
11/20/12 12:26:41
Citrix XTE

le certificat SSL a été installé sur la CSG, sur le proxy et la web interface.

La CSG est paramétré pour utiliser ce certificat et tout envoyer au proxy ....

Si quelqu'un a une idée, je suis plus que preneur car je suis sur ce dossier depuis pas mal de temps et je tourne ne rond :-(

Merci