接上一篇 在ISA2006以SSL-TO-HTTP方式发布内部的WEB服务器(一)

     在此(二)部分,主要分为三大部分,一是建立ISA主机与内部WEB服务器HTTP连接;二是建立ISA主机与WEB客户端之间的SSL连接(https)包含建立SSLWEB侦听器(这要用到第(一)篇的知识啦);三是验证发布是否生效、成功。

一、在ISA本地主机上新建发布规则(建立ISA主机与内部WEB服务器HTTP连接)
要点:A、新建的发布规则,仍是按照"网站发布规则"的步骤来建立的,这并没有什么新的东西。
      B、 在ISA 2006版本中,发布的内部站点,需以内部域名的方式显示出来,并不能只在同一页面的下方填写IP地址或是计算机名字。为了更好的让外部访问 ssl.rickyfang.net的流量经由ISA转发至内部的被发布的WEB站长点,故此,我在ISA本地主机上新建一个HOST记 录:notepad c:\WINDOWS\system32\drivers\etc\hosts 填入192.168.1.28    ssl.rickyfang.net。

1、打开ISA 2006本地主机,ISA管理控制台窗口,找到计算机名,展开,右键点“防火墙规则”,新建“网站发布规则”。

2、在弹出的窗口“新建WEB发布规则向导”,WEB发布规则名称下框中输入名称:pub ssl-to-http。(名称可以自定义)


3、下一步,在“发布类型”窗口中,选择“发布单个网站或负载平衡器”。


4、下一步,在“服务器连接安全”窗口中,选择“使用不安全的连接连接发布的WEB服务器或服务器场”。
       这 一步要说明:既然要使用SSL连接,为何在此步骤中不选择第一项呢?因此,提示各位可以仔细看下这个选择下面的说明—这步骤是要建立ISA主机与要发布的 内部WEB服务器的之间的连接。而不是INTERNET上的WEB客户端与ISA主机之间的连接。当然要使用HTTP连接啦,请大家结合这次实验目的来理 解这一步。      


5、 下一步,在“内部发布详细”窗口中,在内部站点名称后填上“ssl.rickyfang.net”(如果内部有DNS,并有A记录指向内部WEB站点。这 里可以改变的),并勾选“使用计算机名称或IP连接到发布的服务器”。并填入内部的WEB服务器IP地址为192.168.1.28。(当然也可以不填 写,还记得之前的HOSTS文件添加的A记录吗?在这里用上啦)


6、下一步,在“内部发布详细信息”窗口,在“路径(可选)”框里,输入/*。

7、下一步,在“公共名称细节”窗口中,在“接受请求”后,选择“在此域名(在以下输入)”,并在“公用名称”后框中输入:ssl.rickyfang.net,(注意,这此输入的是需要INTERNET上访问的网站域名,一定要搞清楚和之前发布时输入的域名用处之别)

。在“路径(可选)”后面输入"/*"。


二、建立ISA主机与WEB客户端之间的SSL连接(https)
8、下一步,弹出“选择WEB侦听器”窗口,此时并没有可以选择的侦听器,而且也不能选择。(接下来的操作也是重点,是实现SSL必不可少的步骤),在此点“新建”。在出现的新窗口中,输入侦听器名称:ssl-to-http。

9、 下一步,出现“客户端连接安全设置”窗口,选择“需要与客户端建立SSL安全连接”。(哈哈,我太喜欢ISA 2006了,太为我们着想啦,这不,刚才还在抱怨怎么实现SSL连接的朋友,这下就明白了,此处建立的是INTERNET上的WEB客户端与ISA主机建 立SSL连接的选项。也就是通过在IE浏览器里输入https://后的加密访问)。



接下来的操作就要用到在第(一)篇BLOG文中建的CA相关的知识点啦,之前也提到,如果你在一些数字证书颁发机构申请了证书。就可以免去很多麻烦,也就没有上篇BLOG文的出台啦,不过那是要缴费的。而且至于如何做,他们也会指导去做的。

10、下一步,在“WEB侦听器IP地址”窗口中,选择“外部”以使ISA主机侦听来自于INTERNET上的传入WEB请求。

11、下一步,出现“侦听器SSL证书”窗口,选择“对此WEB侦听器使用单一证书”,并点击“选择证书”。在出现的窗口中,选择

在之前建立的证书(第一篇中建立的),呵呵,这里,有两个,其中一个是我第一次成功时的。第二个是为了写这篇文章又建立一个的。这次,咱们选择第二个(之前的证书申请ID为3)。并点“选择”。


12、下一步,在“身份验证”窗口,选择"没有身份验证"。下一步,下一步,二次下一步后,出现如下的窗口,便完成了WEB侦听器的建立。


13、下一步,在出现的“身份验证委派”页面。点下一步。在出现的“用户集”页面,选择“所有用户”。然后点完成。完成所有的动作。

三、验证发布的WEB访问

在任一台能上网的机器上,在IE浏览器里输入 https://ssl.rickyfang.net。会出现如下的窗口


在 上述窗口中,我点了查看证书,可以看到一些提示说是此证书并不是受信任的证书颁发机构颁发的。那是当然的,如果你真正的了解证书相关知识,就知道为何了。 当然,如果你选择了受信任机构颁发的,就不会出现这样的问题啦(IE浏览器默认就会不弹出此界面啦。详情见相关知识)。

点“是”后,就能正常访问啦。如下图:



从此,这篇文章就算成功的实现了SSL的发布及访问。下面有几点和各位提一下:

A、由于我这是仅限于公司内部访问,尽管也在公网上提供了服务,但仍采用了微软内置的CA。如果各位真不想这样子麻烦就去一些数字证书机构去花钱申请。这样子就不会出点"是"的提示窗口了。

B、如果你想使用微软内置的CA,但又不想出现提示的窗口,那就把证书下载下来,通过MMC导入此证书。就可以啦。

C、 如何验证WEB客户端到ISA主机的SSL,以及ISA主机到内部的WEB服务器的HTTP访问。可以使用netstat -an | find "80" /netstat -an |find "443"就可以验证了。如果,你会使用SNIFFER抓包工具,就更能清楚啦。