Gateway-Modus, Weiterleitungseinstellungen, HSTS

Ein RAS Secure Client Gateway kann im Normal- und Weiterleitungsmodus betrieben werden. Um den gewünschten Modus einzustellen und die zugehörigen Einstellungen zu konfigurieren, klicken Sie auf die Registerkarte Eigenschaften im Dialogfeld der Eigenschaften von RAS Secure Client Gateway.

Einrichten des Normalmodus

Zum Einrichten des Normalmodus wählen Sie in der Dropdown-Liste Gateway-Modus die Option Normal.

Mit der Option Anfragen an HTTP-Server weiterleiten können Sie Anfragen weiterleiten, die nicht zum RAS Secure Client Gateway gehören (Gateways verarbeiten HTML5-Datenverkehr, Wyse und URL-Schema). Wenn Sie mehrere Server eingeben, trennen Sie sie mit Strichpunkten. Ein HTTP-Server kann mit einer IPv6-Adresse angegeben werden. Beachten Sie, dass ein HTTP-Server die gleiche IP-Version unterstützen muss wie der anfragende Browser.

Die Dropdown-Liste Bevorzugter Publishing Agent ermöglicht Ihnen die Angabe eines RAS Publishing Agents, mit dem sich das Gateway verbinden soll. Das ist hilfreich, wenn die Site-Komponenten in mehreren physischen Sites installiert sind, die über WAN miteinander kommunizieren. Sie können den Netzwerkdatenverkehr verringern, indem Sie einen geeigneteren RAS Publishing Agent festlegen. Damit das Gateway einen Publishing Agent automatisch auswählt, wählen Sie die Option Automatisch.

Durchsetzung von HSTS

Mit der Schaltfläche HSTS-Einstellungen können Sie die HTTP Strict Transport Security (HSTS) erzwingen, einen Mechanismus, der einen Webbrowser dazu bringt, mit dem Webserver nur über sichere HTTPS-Verbindungen zu kommunizieren. Wenn HSTS für ein RAS Secure Client Gateway durchgesetzt wird, sind alle Webanfragen an es gezwungen, HTTPS zu verwenden. Dies betrifft insbesondere das RAS HTML5 Gateway, das normalerweise sowohl HTTP- als auch HTTPS-Abfragen akzeptieren kann.

Wenn Sie auf die Schaltfläche HSTS-Einstellungen klicken, öffnet sich das Dialogfeld HSTS-Einstellungen, in dem Sie Folgendes festlegen können:

• Strenge HTTP-Transportsicherheit (HSTS) durchsetzen – aktiviert oder deaktiviert HSTS für das Gateway.
• Max. Alter – gibt das maximale Alter für HSTS an, d. h. die Zeit (in unserem Fall in Monaten), in der der Webbrowser nur über HTTPS mit dem Gateway kommunizieren kann. Der Standardwert (und empfohlene) Wert beträgt 12 Monate. Akzeptable Werte sind 4 bis 120 Monate.
• Subdomains einbeziehen – gibt an, ob Subdomains eingefügt werden sollen (falls vorhanden).
• Vorab laden – aktiviert oder deaktiviert das Vorab-Laden von HSTS. Dies ist ein Mechanismus, bei dem eine Liste von Hosts, die die Verwendung von SSL/TLS auf ihrer Site erzwingen möchten, in einem Webbrowser fest kodiert wird. Die Liste wird von Google erstellt und von den Browsern Chrome, Firefox, Safari, IE 11 und Edge verwendet. Wenn HSTS Preload verwendet wird, versucht ein Webbrowser nicht einmal, eine Anfrage über HTTP zu senden, sondern verwendet jedes Mal HTTPS. Bitte lesen Sie auch den wichtigen Hinweis unten.

Hinweis: Um HSTS Preload zu verwenden, müssen Sie Ihren Domainnamen für die Aufnahme in die HSTS Preload-Liste von Chrome einreichen. Ihre Domain wird in allen Webbrowsern, die die Liste verwenden, fest kodiert. Wichtig: Die Aufnahme in die Preload-Liste kann nicht ohne weiteres rückgängig gemacht werden. Sie sollten die Aufnahme nur dann beantragen, wenn Sie sicher sind, dass Sie HTTPS für Ihre gesamte Site und alle ihre Subdomains langfristig (in der Regel 1-2 Jahre) unterstützen können.

Beachten Sie auch die folgenden Anforderungen:

• Ihre Site muss über ein gültiges SSL-Zertifikat verfügen. Siehe Überprüfen der SSL-Serverkonfiguration.
• Alle Subdomains (falls vorhanden) müssen in Ihrem SSL-Zertifikat enthalten sein. Erwägen Sie, ein Wildcard-Zertifikat zu bestellen.

Einrichten des Weiterleitungsmodus

Zum Einrichten des Weiterleitungsmodus wählen Sie in der Dropdown-Liste Gateway-Modus die Option Weiterleitung.

Geben Sie im Feld Weiterleiten von RAS Secure Client Gateway einen oder mehrere Weiterleitungs-Gateways ein oder wählen Sie sie aus.

Hinweis: Mit dem Weiterleitungsmodus können Sie Daten an ein Gateway weiterleiten, das an einer IPv6-Adresse wartet. Es wird empfohlen, Weiterleitungs-Gateways so zu konfigurieren, dass sie dieselbe IP-Version verwenden.