发布安全的Web站点
安全Web站点在很多领域上由于它的高安全性而受到广泛应用,由于安全Web站点对HTTP数据进行了加密,ISA需要对数据内容进行分析;而ISA2006在发布安全站点时都是采用“桥接”模式,这种模式可以让ISA对外网的发来的加密数据先进行解密,然后过滤检查,发来的数据被证实没问题了才会被重新加密送往内网的Web服务器。
而ISA2006之前的版本无法使得防火墙无法对数据内容进行分析,也没办法判断这些数据是否安全。当防火墙遇到这种情况,往往就采用“隧道”模式,“隧道”模式让外网的访问请求直接通过防火墙抵达内网的安全站点,透明通过。显然,桥接模式比隧道模式更能发挥防火墙的功效,对网站的安全更为有利。
此试验拓扑如图所示:florence是域控制器、DNS服务器、CA服务器,perth是要发布的安全Web站点,Berlin还是ISA防火墙,Istanbul是外网的一台计算机
发布安全的Web站点_第1张图片
一、创建证书颁发机构
在florence上打开控制面板-----添加删除组建-----钩选“证书服务”,创建一个“企业根CA”,CA的公用名称“itetca”,搭建证书服务器很简单,具体不再阐述。
发布安全的Web站点_第2张图片
创建完之后,我们需要在Web服务器和ISA上刷新一下组策略,让他们在最短时间内信任这个证书颁发机构,当然在生产环境下就没必要了
发布安全的Web站点_第3张图片
右键IE属性-----内容----证书,如图所示:已成功信任
发布安全的Web站点_第4张图片
企业内的计算机已经信任了证书颁发机构,怎们让外网的Istanbul也信任呢?很简单,①可以先把florence上的网站发布出去,然后在访问 http://florence.isa.com/certsrv 下载证书,再将证书导入到证书颁发机构;②还可以在证书颁发机构上将我们创建的企业根证书导出,然后再导入到外网计算机上,当然在生产环境下这种方法不理想;但在试验环境下可以考虑使用,此试验我们就采取这种方法。如图所示:
发布安全的Web站点_第5张图片
点击“下一步”
发布安全的Web站点_第6张图片
选择导出文件的格式
发布安全的Web站点_第7张图片
选择“导出的文件”存放的位置
发布安全的Web站点_第8张图片
点击“确定”导出成功
发布安全的Web站点_第9张图片
将证书传到Istanbul上
发布安全的Web站点_第10张图片
在Istanbul上右键IE属性----内容----证书,如图所示:点击“导入”
发布安全的Web站点_第11张图片
进入证书导入向导,点击“下一步”
发布安全的Web站点_第12张图片
选择要导入的证书
发布安全的Web站点_第13张图片
将证书到“受信任的根证书颁发机构”
发布安全的Web站点_第14张图片
导入向导完成
发布安全的Web站点_第15张图片
点击“确定”导入成功
发布安全的Web站点_第16张图片
如图所示:受信任的根证书导入成功
发布安全的Web站点_第17张图片
二、安全Web站点申请证书
打开IIS管理器----右键“默认网站”属性,申请证书。
发布安全的Web站点_第18张图片
切换到“目录安全性”,点击“服务器证书”申请服务器证书
发布安全的Web站点_第19张图片
点击“下一步”
发布安全的Web站点_第20张图片
新建一个证书
发布安全的Web站点_第21张图片
选择“立即将证书请求发送到联机证书颁发机构”,实际工作中应该选择“现在准备证书请求,但稍后发送”
发布安全的Web站点_第22张图片
输入新证书的名称,易于引用和记忆即可,此试验采取默认设置
发布安全的Web站点_第23张图片
填写“单位信息”
发布安全的Web站点_第24张图片
填写“公用名称”,慎重填写,公用名称一定要和外网用户访问该安全网站是的域名一致
发布安全的Web站点_第25张图片
填写地理信息
发布安全的Web站点_第26张图片
为此网站指定端口
发布安全的Web站点_第27张图片
选择证书颁发机构
发布安全的Web站点_第28张图片
检查提交的信息,无误点击“下一步”
发布安全的Web站点_第29张图片
完成Web服务器证书向导
发布安全的Web站点_第30张图片
点击“查看证书”可以看到perth申请的服务器证书
发布安全的Web站点_第31张图片
三、将perth的服务器证书导出并导入到ISA
打开“运行”----输入“MMC”打开控制台----添加“证书”,如图所示:将证书到出
发布安全的Web站点_第32张图片
点击“下一步”
发布安全的Web站点_第33张图片
连同私钥一起导出
发布安全的Web站点_第34张图片
启用加强保护
发布安全的Web站点_第35张图片
填写“密码”用来保护私钥
发布安全的Web站点_第36张图片
选择将证书导出到什么位置,必须以“.pfx”扩展名结尾。
发布安全的Web站点_第37张图片
点击“确定”导出成功
发布安全的Web站点_第38张图片
如图所示:可以看到我们导出的证书perth.pfx
发布安全的Web站点_第39张图片
四、ISA将证书导入
将perth上的证书拷贝到Berlin(ISA)上,双击此证书进入证书导入向导
发布安全的Web站点_第40张图片
选择要导入的证书
发布安全的Web站点_第41张图片
输入我们刚刚为保护私钥创建的密码
发布安全的Web站点_第42张图片
选择证书存储位置,我们将它导入到“个人存储”中
发布安全的Web站点_第43张图片
证书导入完成
发布安全的Web站点_第44张图片
如图所示:导入成功
发布安全的Web站点_第45张图片
五、发布安全的Web站点
如图所示:新建一个“网站发布规则”
发布安全的Web站点_第46张图片
填写规则名称
发布安全的Web站点_第47张图片
规则操作“允许”
发布安全的Web站点_第48张图片
发布类型:“发布单个网站或负载平衡器”
发布安全的Web站点_第49张图片
选择使用SSL连接到发布的Web服务器或服务器场
发布安全的Web站点_第50张图片
内部站点的名称为perth.isa.com,注意,内部站点的名称应该和安全站点证书中的公用名称完全一致,否则会导致发布失败;计算机名称或IP地址可写可不写。
发布安全的Web站点_第51张图片
发布整个网站的内容
发布安全的Web站点_第52张图片
安全站点的公共名称应该和证书中的公用名称完全一致
发布安全的Web站点_第53张图片
我们没有侦听443端口的侦听器,新建一个web侦听器
发布安全的Web站点_第54张图片
填写Web侦听器名称
发布安全的Web站点_第55张图片
需要与客户端建立SSL安全连接
发布安全的Web站点_第56张图片
此Web侦听器用来侦听外网
发布安全的Web站点_第57张图片
选择侦听器使用的证书,此时应该选择perth的证书,当外网用户要访问perth时,ISA可以出示该证书证明自己的就是你要访问的目标
发布安全的Web站点_第58张图片
不需要身份验证,发布安全Web站点不需要身份验证,并非发布其他服务器时也不需要身份验证
发布安全的Web站点_第59张图片
不设置单一登陆
发布安全的Web站点_第60张图片
侦听器创建完成
发布安全的Web站点_第61张图片
添加“侦听443端口”的侦听器
发布安全的Web站点_第62张图片
安全Web站点没有委派ISA对客户端进行身份验证
发布安全的Web站点_第63张图片
应用到所有用户
发布安全的Web站点_第64张图片
发布完成
发布安全的Web站点_第65张图片
六、测试
来到外网Istanbul上,在浏览器上输入 https://www.perth.com ,如图所示:提示“即将通过安全连接查看网页”,点击“确定”
发布安全的Web站点_第66张图片
点击“是”
发布安全的Web站点_第67张图片
如图所示:可以正常访问
发布安全的Web站点_第68张图片
使用http连接如图所示:网页打开失败。
发布安全的Web站点_第69张图片