ISA 2006 实验指南( 九)发布安全Web服务器
一、发布单个WEB站点
1)IIS虚拟主机申请证书
2)ISA WEB侦听器申请证书
3)外部客户机信任此CA服务器
设置IIS、打开要发布的WEB服务器IIS”申请证书”
安全站点需要证书支持、
可在内部部署CA服务、第三方证书服务商
创建好网站、右击、选择、属性、弹出下图所示:
编辑
——要求安全通道SSL、只能用HTTPS协议访问”要求128位加密”
——忽略客户端证书、不要求客户证书
——接受客户端证书、允许有证书和没证书的用户访问“内部CA用户证书”前提要信任此CA服务器
——要求客户端证书、要有证书才能访问
选择、目录安全性、点击、服务器证书、弹出个向导、下一步
公用名称---跟IIS虚拟主机头值一样:如不一样会出现以下情况:
同时在计算机个人证书里可以看到
如果你的内部站点名和你要发布出去的站点一样哪么你可以把这个证书导出给ISA的侦听器用、也可以在ISA上为侦听器重新申请“如有多台WEB服务器做成了服务场哪么就导出给所有WEB服务器”
证书导出有两种方式
1)在完成后点击查看证书、详细信息
复制到文件、要导出私钥、输入口令“导入时需要用到”
2)运行MMC
添加证书、选择计算机帐户
在ISA服务器上导入这个证书、“本要计算机、个人”
以上的方法跟我现在实验不合、我发布出去的是[url]www.mcse.com[/url]
2)为ISA WEB侦听器申请证书
详细的申请过程就不说了
姓名最重要的:一定要输入你发布出去给外部访问的WEB站点
如果你只是一台ISA哪么勾上、将证书保存在本地计算机存储中、就OK了、但我这有两台ISA 需要导出、默认标记密钥为可导出是灰色的、方法:先提交不要安装证书、再后退回来就可以勾上了
注:多台ISA服务器一定要用同一个证书、不能每台都就CA服务器上申请、WEB服务也是一样
创建WEB侦听器
防火墙策略选项里的网络对象
为侦听器取个名
这是外部客户端跟ISA服务器建立的SSL通信的
这里我就不选择IP地址了直接选外部网卡、即侦听ISA外网卡
——选择证书
这个证书一定要跟你实际发布的域一至
不需要身份验证“这是ISA服务器验证客户端的”
在身份验证里选择HTML窗体身份验证才可用
下一步完成。
创建网站发布规则
为此规则取个名
——下一步“允许”——下一步“发布类型、发布单个网站或负载平衡器”下一步
这是ISA服务器与WEB服务的连接的选项“有些人认为这是ISA与客户端的通信连接”
桥接:
创建 Web 发布规则时,可以进一步保护 HTTP 通讯的安全性。即便最初的通讯使用的是 HTTP,在 ISA 服务器收到请求后,也可以使用 SSL 重定向通讯。如果请求被作为 SSL 请求重定向,则会加密数据包。这种重定向被称为桥接。
SSL 桥接以下列方案工作
加密到 Web 服务器的连接
客户端请求 HTTP 对象。ISA 服务器加密请求并将其转发到 Web 服务器。Web 服务器将加密的对象返回给 ISA 服务器。然后,ISA 服务器解密对象并将其发送到客户端。也就是说,HTTP 请求是作为 SSL 请求转发的。
加密到客户端和 Web 服务器的连接
客户端请求 SSL 对象。ISA 服务器解密请求,然后再次对其进行加密,并将其转发到 Web 服务器。Web 服务器将加密的对象返回给 ISA 服务器。ISA 服务器解密对象,然后再次对其进行加密,并将其发送给客户端。也就是说,SSL 请求是作为 SSL 请求转发的。
加密到客户端的连接
客户端请求 SSL 对象。ISA 服务器解密请求并将其转发到 Web 服务器。Web 服务器将 HTTP 对象返回给 ISA 服务器。ISA 服务器加密对象并将其发送给客户端。也就是说,SSL 请求是作为 HTTP 请求转发的。
加密到 Web 服务器的连接
客户端请求 HTTP 对象。ISA 服务器加密请求并将其转发到 Web 服务器。Web 服务器将加密的对象返回给 ISA 服务器。然后,ISA 服务器解密对象并将其发送到客户端。也就是说,HTTP 请求是作为 SSL 请求转发的。
加密到客户端和 Web 服务器的连接
客户端请求 SSL 对象。ISA 服务器解密请求,然后再次对其进行加密,并将其转发到 Web 服务器。Web 服务器将加密的对象返回给 ISA 服务器。ISA 服务器解密对象,然后再次对其进行加密,并将其发送给客户端。也就是说,SSL 请求是作为 SSL 请求转发的。
加密到客户端的连接
客户端请求 SSL 对象。ISA 服务器解密请求并将其转发到 Web 服务器。Web 服务器将 HTTP 对象返回给 ISA 服务器。ISA 服务器加密对象并将其发送给客户端。也就是说,SSL 请求是作为 HTTP 请求转发的。
内部站点名这个的名一定要跟IIS上的证书名一至指定IP是防止ISA无法解析内部做好准备、
选择刚才创建的WEB侦听器、如刚才没创建过现在也可以新建一个
选择这项ISA不会代理客户端去跟IIS服务验证,而是客户端直接跟IIS做验证、ISA等于透明了“下编博文再说侦听器身份验证”
——下一步、所有用户——完成。
外部客户机测试
成功访问!但现在需要手工输入HTTPS来访问、有点不方便、大家都知道IE默认给我们加的是80端口、ISA服务器的侦听器可把接收到80的请求数据重定向到443端口
1、在ISA上双击打开这条规则属性的选择—侦听器—属性—连接、如下图所示:
启用80端口、将通过身份验证的通讯从HTTP重定向到HTTPS“如果在WEB发布规则中的身份验证委派”选了“无委派,客户端无法直接进行身分验证”哪么就不会重定向到HTTPS
将所有通讯从HTTP重定向到HTTPS、“高级是客户端连接并发数目”
在WEB服务器上不需要启用80端口、这里是ISA在收到外部发来的请求重定向到443
但这只对外部、不会对内部起作用!因为侦听的是外部
二、发布多个WEB安全站点
实验可用多个虚拟目录、和多台WEB服务器“但虚拟主机启用安全的不能在同一IP上”
1、在WEB服务器IIS虚拟目录上申请web服务器证书
2、ISA服务器申请证书
方法一、为每个安全站点创建一个WEB侦听器
方法二、在ISA侦听器上使用通配符证书*.mcse.com证书“此证书代替以mcse.com结尾的证书验证、比起方法一方便很多只需要一个侦听器即可
——申请一个证书
——高级证书申请
——创建并向此CA提交一个申请
提交并安装”如果是一台ISA、密钥可以不勾、 “因为我的是阵列有两台所以要求证书能导出”
导出给另外一台ISA服务器、千万不要重新申请
如果是一台ISA就不需要勾选标记密钥可导出
在ISA上创建发布规则、选择发布多个网站“也可以把前的规则复制出来做一些修改:先把刚才创建的禁用
完成后需要进行一些修改、不是很好
——添加、弹出下图:
这里我直接输入外网访问的名、如果你输入内部的主机名、哪么在规则完成后需要修改公共名称的
添加的时候、可以勾上、可以不勾上,SSL加密连接
——输入DNS后缀、下一步就是侦听器了,此时修改一下、点击编辑
——证书标签、选择证书
——点一下证书、点击选择
以下都不载图了
现在创建好!但还需要修改一下规则
双击打开规则属性、到、标签下修改、此规则应用于此发布的站点、改回FQDN名
、如果在我们上一步里你输入的是内部主机名哪么在这里的公共名称里要修改回“通讯标签也可以重定向”
外部客户机测试!
前提要做好解析工作
现在访问成功“如果这台外部客户机不信任内部的CA服务器哪么访问会弹出一个证书的对话框、
服务器场做起来思路也是一样的!
