virtual webserver using TLS/SSL and with multiple vhosts

I've moved this thread to the correct forum.

Port 443 is for HTTPS, which is encrypted and is certificate based.  WAF is a proxy.  The external client connects to WAF, then WAF connects to your internal server.  It's a man-in-the-middle sort of scenario.  The multiple part is simple, just pass the host headers.

Try this:  Information from the Forum

Hi Scott - if i google the question it comes up with my question...

My question was more on the feasibility of having multiple vhosts (port 443) on a webserver behind a dmz. THis is easily achivable for port 80 however for port 443 this seems to be a bit confusing whether it is possible or not. 

Just to make it clear I am not lookig to set up a proxy, I dont need it - I just need to 'allow' secure traffic to the webserver...

Thanks

George, there are reasons to avoid creating a DNAT on port 443, so you will want to use Webserver Protection (reverseproxy) for this.  Just add the certificates in 'Certificate Management' for the domains using https that are hosted on your web server, create the HTTPS Virtual Servers and associate the correct certificate to each one.

Another point is that you can just use the UTM to do the HTTPS with the outside world and use a non-SSL connection between the UTM and the web server.

Cheers - Bob

If you don't want to proxy the connections or mess with certificates on the UTM in WAF, then you could allow the traffic with a simple DNAT.  The trade off being that the traffic couldn't/wouldn't be scanned.

from: Internet IPv4
Service: HTTPS
Going to: External WAN (Address)
Action
change destination to:
Your servers internal IP
and the service to: leave blank
auto firewall rule selected

Thanks Scott and Bob for this. I wouldnt want to leave the traffic unscanned.
Bob from your response I have looked at this but still need a couple of clarifications -- sorry:

1. If I understood correctly you would create 1 real webserver on port 443 to connect to the host = external webserver
2. I would need to generate / install certificates for each domain on the UTM under certificate management (So any certificates on the actual webserver will not be used any more is this correct?)
3. Create one virtualserver for each domain using the appropriate certificate from the list (and which port in this case 80 or 443 -- ie Am i redirecting the traffic to the webserver using port 80? Is this secure?) If i send the traffic to my webserver to port 80 then the vhost should only listen to port 80 and aseparate vhost for port 443 wont be necessary?
4. Any other steps? -- you mentioned something about reverse authentication which I dont understand.

Also one thing that I wanted to understand is why is it not possible to do the same as in the case of port 80? there I have all my domains contained in one virtual webserver and the UTM passes the header to the vhost.

In the case above a domain would either be forced using TLS or not - one can't have a page on port 80 and another forced to 443 is this correct?

Thanks and sorry for the long question -- hopefully this will help others in the future as well.

George

1. Internet->HTTPS->UTM->HTTPS->server, Internet->HTTPS->UTM->HTTP->server and Internet->HTTP->UTM->HTTPS->server all are possible.  The advantage of the second one is that there's no SSL processing load on the web server and only a single Real Server on port 80 can be used.
2. Yes, if you make the choice to only use UTM->HTTP->server.
3. Virtual HTTPS servers each have to have a certificate, and it's from the cert that the Virtual server knows what traffic to handle.
4. Unless you're currently doing authentication of incoming clients on the web server, this is not relevant.  If you are, please start another thread with that issue.

Cheers - Bob