Настройте TMG в качестве обратного прокси-сервера, https-to-http

tl;dr У меня проблемы с тем, чтобы TMG правильно перевернул прокси-соединение HTTPS снаружи, в HTTP-соединение внутри.

У нас есть локальная сеть (10.0.7.0/24), в которой размещается Windows Server 2008 с установленными Spiceworks. Spiceworks использует Apache и настроен для обслуживания как HTTP, так и HTTPS. Пока вы просматриваете его из локальной сети, он работает, никаких проблем.

У нас также есть DMZ (172.32.16.0/24), на котором размещен сервер Forefront TMG, который имеет доступ как к локальной сети, так и к Интернету. Поэтому мы попытались настроить правило обратного прокси-сервера, которое позволило бы пользователям получать доступ к экземпляру Spiceworks из Интернета.

Для HTTP он работает отлично - трафик проходит через TMG и ретранслируется на сервер Apache, отличный. Для HTTPS не так уж и много. TMG устанавливает соединение, используя сертификат на своей стороне, но не может подключиться к серверу Apache через HTTPS и умирает с ошибкой тайм-аута.

Я не думаю, что это проблема сети, так как HTTP работает нормально. Это не проблема HTTPS с Spiceworks, так как просмотр его в локальной сети работает нормально. Я подозреваю, что TMG испытывает проблемы при проверке сертификата, который мы используем на сервере Apache, поэтому я получаю ошибку HTTP 500 "Токен, предоставленный функции, недействителен".

Сертификат, который использует TMG, - это тот же сертификат, что и на сервере Spiceworks (оба сертификата GoDaddy) - может ли это быть как-то связано с этим? Мы не можем заменить сертификат, так как он используется во многих местах, поэтому, если есть обходной путь или параметр конфигурации TMG, который я могу изменить, это было бы идеально.

Другим моим вариантом было получить TMG для прокси https://subdomain.domain.tld/ снаружи и http://subdomain.domain.tld/ внутри, и полностью обойти проблему SSL, но без единой ошибки либо - TMG упрямо отказывается переписывать URL-адрес таким образом.